3. Verschlüsselung mit HTTPS

3.1. Konfiguration

Falls man mit den Aministrationswerkzeugen (Administrator, Ordermanger, Uploadmanager) oder mit dem GeoShop Client via HTTPS kommunzieren will, muss man folgende Schritte durchführen:

  1. SSL_PORT in \user\options\appserver.opt unter AppServer setzen:

       AppServer MAP
          ...
          SSL_PORT STRING 443
          ...
       }
  2. GeoShop neu starten. Am Schluss von appserver.log sollte die Meldung: SSLServer started on port 443. erscheinen.

  3. Jetzt kann man bereits auf den GeoShop via HTTPS zugreifen (z.B. https://localhost/geoshop/client.html im Webbrowser aufrufen). Es ist auch möglich mit beliebigen GeoShop Client-Tools (z.B. Adminstrator oder Ordermanager) auf den GeoShop zuzugreifen. Dazu muss man beim Login im Feld Server die URL https://localhost eingeben.

3.2. Serverzertifikate

3.2.1. Überblick

Der GeoShop verwendet standardmässig ein selbst signiertes und für die Domain localhost ausgestelltes Serverzertifikat für die Verschlüsslung der Daten. Der Zertifikatspeicher ist unter \user\ssl\keystore abgelegt. Wenn man ein eigenes Serverzertifikat installieren will, hat man folgende Möglichkeiten:

  1. Man generiert ein selbst signiertes Serverzertifikat für seine Domain. Diese Methode hat den Vorteil, dass sie schnell durchgeführt werden kann und keine weiteren (wiederkehrenden) Kosten nach sich zieht. Die Benutzer müssen jedoch im Browser das Zertifikat akzeptieren oder permanent installieren (s.a. Abschnitt Clientzertifikat). Diese Methode eignet sich daher vorallem für Testumgebungen und nicht produktive Webseiten. Das selbst erstellte Zertifikat ist (praktisch) unbeschränkt gültig.

  2. Man bestellt ein Zertifikat für die gewünschte Domain bei einer offiziellen Zertifizierungsstelle (CA). Darauf installiert man das offizielle Serverzertifikat im GeoShop. Sofern das Zertifikat von einer geläufigen CA (z.B. Verisign, Thawte, TC Trustcenter, etc.) erstellt wurde, müssen Benutzer das Zertifikat im Browser nicht zusätzlich aktzeptieren. Allerdings muss man für die Erstellung und Verwendung des Serverzertifikat eine (wiederkehrende) Gebühr entrichten.

    [Anmerkung]

    ACHTUNG: Von einer CA signierte Serverzertifikate sind normalerweise nur ca. 3 Jahre gültig und müssen danach wieder erneuert werden.

Weil es für beide Methoden Anwendungsfälle gibt, sind im nachfolgenden beide Methoden beschrieben.

3.2.2. Selbst signiertes Serverzertifikat erstellen

Ein selbst signiertes Serverzertifikat kann mit dem GeoShop wie folgt erstellt werden:

  1. Öffnen Sie ein DOS-Fenster und wechseln Sie nach \user\ssl.

  2. Löschen Sie die Datei "keystore" (Zertifikatspeicher).

  3. Erzeugen Sie einen neuen Zertifikatspeicher mit Serverzertifikat. Dazu geben Sie folgenden Befehl ein:

    ..\..\jre\bin\keytool -genkeypair
          -keystore keystore -storepass infogrips
          -validity 10000
          -alias geoshop
          -keyalg RSA

    Die darauf folgenden Fragen müssen Sie wie folgt beantworten:

    Vorname- und Nachname:

    Hier muss der Domainname Ihrer Webseite eingegeben werden (z.B. "www.meinefirma.com") nicht Ihr Name, sonst gibt es später Probleme beim Zugriff via Browser.

    Organisatorische Einheit:

    Ihr Amt oder Ihre Abteilung.

    Name der Organisation:

    Ihr Firmenname (z.B. infoGrips GmbH).

    Name der Stadt oder Gemeinde:

    Ihr Firmenstandort (z.B. Zuerich).

    Bundesland oder Provinz:

    Kantonsname (z.B. Zuerich).

    Landescode:

    CH für die Schweiz.

    Angaben richtig?

    Ja.

    Geben Sie Passwort für <geoshop> ein:

    EINGABETASTE drücken.

3.2.3. Offizielles Serverzertifikat beantragen und installieren

Bei der Zertifizierungsstelle (CA) muss ein DER codiertes Serverzertifikat im X-509 Format bestellt werden. Die CA liefert dann das signierte Serverzertifikat als .pfx Datei, welche man wie folgt im GeoShop installiert:

  1. Öffnen Sie ein DOS-Fenster und wechseln Sie nach \user\ssl.

  2. Sichern Sie den alten Keystore.

    rename keystore keystore.old
  3. Importieren Sie das Serverzertifikat wie folgt:

    ..\..\jre\bin\keytool -importkeystore
    
          -srckeystore <certificate>.pfx
          -srcstorepass <keystore password>
          [-srckeypass <key password>]
    
          -destkeystore keystore
          -deststorepass infogrips
          -destkeypass infogrips

    Es wird eine neue Keystore Datei erstellt und darin das Serverzertifikat unter dem Alias geoshop abgelegt.

    [Anmerkung]

    -srckeypass muss nur angegeben werden, wenn das Serverzertifikat von der CA durch zwei unterschiedliche Passwörter gesichert wurde.

Danach muss man den GeoShop frisch starten.

3.3. Clientzertifikate

Dieser Abschnitt muss nur für "selbst signierte Serverzertifikate" (s.a. oben) beachtet werden.

Für die Administratorwerkzeuge sind keine speziellen Clientzertifikate notwendig.

Falls man mit einem Internet Browser (Firefox oder IE) via HTTPS auf den GeoShop zugreifen will, wird man gefragt ob man das generierte Zertifikat aktzeptieren will. Diese Fragen sollte man alle bestätigen. Hier noch ein ein paar browserspezifische Hinweise:

Mozilla Firefox

Im Firefox sollte man das Zertifikat "permanent" aktzepieren. Nur so wird man später nicht mehr nach dem Zertifikat gefragt. ACHTUNG: Firefox 3.0 unter Windows Vista akzeptiert keine selbst signierten Zertifikate für die Domain "localhost".

Microsoft Internet Explorer (IE)

Im IE muss man das Zertifikat zuerst akzeptieren und dann auf "Certifcate Error" klicken. Im Untermenü muss man auf "View Certificates" klicken und dort das Zertifiat unter "Vertrauenswürde Stammzertifikatsstellen" speichern. Sobald der IE frisch gestartet wird, erscheint kein "Certificate Error" mehr.

Das Zertifikat muss für den Domainnamen des GeoShop Server ausgestellt sein (z.B. www.meinefirma.ch), sonst werden von den Browsern weiterhin Warnungen ausgegeben.