Änderungen von Dokument Bereitstellung über HTTPS

Von 3.2 nach 3.3

Von Version 3.3

bearbeitet von gru
am 01.02.2022, 17:21

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 3.17

bearbeitet von gru
am 27.07.2022, 10:45

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

@@ -37,11 +37,13 @@
  </Connector>
  {{/code}}
--Weiterführende Informationen zur Konfiguration von der Eigenschaft //SSLHostConfig// finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-8.5-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-8.5-doc/config/http.html#SSL_Support_-_SSLHostConfig]]
++Weiterführende Informationen zur Konfiguration von der Eigenschaft //SSLHostConfig// finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]]
  )))
  ===Zusammenfassung der wichtigsten Optionen===
++In der folgenden Tabelle werden die wichtigsten Optionen des obenstehenden Beispiel-Connectors und Ihre Bedeutung kurz zusammengefasst:
++
  {{table dataTypeAlpha="0" preSort="0-asc"}}
  |=Attribut|=Wert|=Beschreibung
  |port|443 (Standard)|Über diesen Port wird die Verbindung aufgebaut.
@@ -56,7 +56,7 @@
  ===Weitere Möglichkeiten ein Zertifikat im Tomcat am Connector zu konfigurieren===
--Einbindung mittels KeyStore:
++Neben dem obenstehenden Beispiel gibt es noch andere Möglichkeiten, das verwendete Zertifikat für einen Connector für verschlüsselte Kommunikation zu konfigurieren. Eine Möglichkeit ist es, das Zertifikat, den Private Key und mögliche Zwischenzertifikate in einem Java-Keystore zu importieren und diesen direkt einzubinden:
  {{code}}
  <Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
@@ -66,14 +66,13 @@
             relaxedQueryChars="[ \ ] ^ ` { | }">
      <SSLHostConfig>
          <Certificate certificateKeystoreFile="conf/file.keystore"
--                     certificateKeystorePassword="mypwd" ></Certificate>
++                     certificateKeystorePassword="meinPasswort" ></Certificate>
      </SSLHostConfig>
  </Connector>
  {{/code}}
++Auch KeyPair-Dateien (*.pfx, *.p12) können direkt eingebunden werden:
--Ist man im Besitz einer KeyPair-Datei (*.pfx, *.p12) kann man diese auch direkt einbinden:
--
  {{code}}
  <Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
             URIEncoding="UTF-8"
@@ -82,19 +82,26 @@
             relaxedQueryChars="[ \ ] ^ ` { | }">
      <SSLHostConfig>
          <Certificate certificateKeystoreFile="conf/file.pfx"
--                     certificateKeystorePassword="mypwd"
++                     certificateKeystorePassword="meinPasswort"
                       certificateKeystoreType="PKCS12" ></Certificate>
      </SSLHostConfig>
  </Connector>
  {{/code}}
++Weiterführende Informationen zur Konfiguration für die Zertifikate finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_Certificate>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_Certificate]]
++
++
  ==Einschränken auf bestimmte TLS-Versionen==
--Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.1 und 1.2 zulässt, könnte wie folgt aussehen:
++Wenn für verschlüsselte Verbindungen nur bestimmte Versionen von TLS unterstützt werden sollen, kann dies über die Attribute //protocols// und //sslProtocol// in der //SSLHostConfig// des Connectors konfiguriert werden. Eine beispielhafte Konfiguration, welche nur die TLS-Versionen 1.2 und 1.3 zulässt, könnte wie folgt aussehen:
  {{code}}
--<Connector ...>
--    <SSLHostConfig protocols="TLSv1.1+TLSv1.2" sslProtocol="TLSv1.1+TLSv1.2">
++<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
++           URIEncoding="UTF-8"
++           maxHttpHeaderSize="65536"
++           maxPostSize="10485760"
++           relaxedQueryChars="[ \ ] ^ ` { | }">
++    <SSLHostConfig protocols="TLSv1.2+TLSv1.3">
          <Certificate certificateKeyFile="conf/private.key"
                       certificateFile="conf/zertifikat.crt"
                       certificateChainFile="conf/CHAIN.pem"
@@ -103,10 +103,33 @@
  </Connector>
  {{/code}}
++==Einschränken auf bestimmte TLS-Ciphers==
++
  Falls zusätzlich eine Einschränkung der möglichen Verschlüsselungsalgorithmen gewünscht wird, kann diese mit dem Attribut //ciphers// vorgenommen werden.
--Nähere Informationen zur Konfiguration und den möglichen Optionen der Attribute finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-8.5-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-8.5-doc/config/http.html#SSL_Support_-_SSLHostConfig]]
++{{velocity}}
++##{{panel title="Beispiel für die manuelle Konfiguration der unterstützten Ciphers" triggerable="true" initial="hidden"}}
++##{{/panel}}
++{{/velocity}}
++Das folgende Beispiel ist keine Sicherheitsempfehlung. Es dient lediglich zur Veranschaulichung, wie eine Konfiguration aussehen könnte:
++{{code language="xml"}}
++<Connector port="443" protocol="HTTP/1.1" maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
++           URIEncoding="UTF-8"
++           maxHttpHeaderSize="65536"
++           maxPostSize="10485760"
++           relaxedQueryChars="[ \ ] ^ ` { | }">
++    <SSLHostConfig protocols="TLSv1.2+TLSv1.3" ciphers="TLS_AES_128_GCM_SHA256,TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_ARIA_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_ARIA_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_128_CCM,TLS_DHE_RSA_WITH_AES_128_CCM_8,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_ARIA_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_ARIA_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_CCM,TLS_DHE_RSA_WITH_AES_256_CCM_8,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256">
++        <Certificate certificateKeyFile="conf/private.key"
++                     certificateFile="conf/zertifikat.crt"
++                     certificateChainFile="conf/CHAIN.pem"
++                     type="RSA" ></Certificate>
++    </SSLHostConfig>
++</Connector>
++{{/code}}
++
++Nähere Informationen zur Konfiguration und den möglichen Optionen der Attribute finden Sie in der Dokumentation des Herstellers: [[https:~~/~~/tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig>>https://tomcat.apache.org/tomcat-9.0-doc/config/http.html#SSL_Support_-_SSLHostConfig]]
++
  ==Erzwingen von HTTPS==
  Sollte der komplette Server ausschließlich über HTTPS betrieben werden empfiehlt es sich den Standard HTTP-Connector zu entfernen bzw. auszukommentieren. Sollte dies keine Option sein gibt es zusätzlich die Möglichkeit sowohl für den ganzen Server, als auch für einzelne Anwendungen eine Kommunikation über HTTPS zu erzwingen. Hierfür kann in die Datei //web.xml// des Servers (///Pfad/Zum/Tomcat/conf/web.xml//) oder der Anwendung (///Pfad/Zum/Tomcat/webapps/formcycle/WEB-INF/web.xml//) innerhalb des Knotens //web-app// folgendes eingefügt werden: