3 Jahre Anwendungserfahrungmit Serverzertifikat / SSL
Geschäftsapplikation: Webbasiertes Projektmanagement und Office-Organizer
Best Practicezur Einrichtung von Internet-
Sicherheit für das „Mobile Büro“
Eine Fördermaßnahme des
®
2
Eine Fördermaßnahme des
®
Hintergrund der geschäftlichen Internetnutzung
• Internet als universelle Plattform zur Abbildung ihrer internen Geschäftsprozesse
• Standard-Web-Browser als universelles Anwendungsprogramm
• Noch interessanter: Geschützte Bereitstellung geschäftlicher Web-Applikationen via Internet
• Unterstützt Telearbeitsformen und geschäftliche Telekooperation zwischen Unternehmen
• geschützte Webserver-Kommunikation mit HTTPS
3
Eine Fördermaßnahme des
®
Ausgangssituation bezüglich Internetsicherheit
• Informationen laufen über unbekannte Netze und Teilverbindungen
• Detektor hat uneingeschränkte Möglichkeiten der Informationserkennung
• unabhängig vom Internetdienst• Web-Server mit Geschäftsdaten benötigen
verschlüsselte Datenübertragungen
4
Eine Fördermaßnahme des
®
Typisches Technikbeispiel für`s „Mobile Büro“
Büro-Drucker
Speichererweiterungen viaUSB2 / IEEE 1349
Datensicherung
File-Server / Web-Server mit geschäftlichen Web-Applikationen
Serverzertifikat
Office-ServerHTTPS / SSL
wLAN / Router / ADSL-Modem Firewall / DHCP / IP-Location-Service
Switchhub / Printserver / VPN-Server …
Gerätegeneration Multifunktionsrouter
mobileBüro-PCs
wLAN im Büro
LAN / Büro-PCs
xDSL-Internetzugang
Eine Fördermaßnahme des
®
Ein wenig Grundlagen
… zum verschlüsselten Geschäftsdatenaustausch zwischen
einem Bürodatenserver und dem Internet-Office.
6
Eine Fördermaßnahme des
®
Was ist SSL?
• SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security entwickelt
• Gewährleistet, dass Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher
7
Eine Fördermaßnahme des
®
Übersicht zu HTTPS als Verschlüsselungsschicht
• HTTPS-Verbindung ist symmetrisch verschlüsselt• Verbindungsaufbau: Ein Zertifikat wird vom Server
geladen. • Spezielle Trust-Server im Internet als
vertrauenswürdige Dritte • Kostenpflichtiges Zertifikat beim CA hinterlegen• Standard-Web-Browser benutzen bereits bekannte
CAs • Verschlüsselte Verbindung, z.B. HTTPS für
Geschäftsapplikationen.• SSL unterstützt DES, RSA, RC4, Blowfish u.a.
8
Eine Fördermaßnahme des
®
Details zu HTTPS / SSL – Der Ablauf
• HTTP-Client stellt Verbindungsanfrage an HTTP-Server • HTTP-Server sendet digital signiertes Zertifikat an Client • Client prüft das Vertrauen des Server-Zertifikats und ob Zertifikatdaten formal
mit Zusatzinformationen des Servers übereinstimmen • Client verhandelt mit dem Server, welche Verschlüsselungsprotokolle (-
methoden / Schlüsselarten) beide Seiten kennen • Der HTTP-Server teilt Client den „best möglichen“ Algorithmus mit • Der Client nutzt diesen Verschlüsselungsalgorithmus und erzeugt einen HTTPS-
Sitzungschlüssel. Der Web-Client verschlüsselt diesen Schlüssel dabei mit dem öffentlichen Schlüssel des Web-Servers und übergibt diesen an den Server.
• Der Server benutzt seinen privaten Schlüssel und erkennt den Client- Sitzungsschlüssel, bestätigt die Schlüsselannahme
• Der Web-Client kommuniziert von nun an mit dem Sitzungschlüssel, sendet HTTPS-verschlüsselte Anfragen an den HTTPS-Server und erhält verschlüsselte Antworten
• Verbindungsabbau: Der HTTPS-Sitzungschlüssel wird verworfen. Bei der nächsten Verbindung wird ein neuer Sitzungsschlüssel generiert.
9
Eine Fördermaßnahme des
®
Einfache Anwendung eines komplizierten Verfahrens
• Der Web-Server wird für HTTPS ergänzt
• Auf die Einschaltung eines CAs (Trust-Centers) wird bei weitgehend internen Geschäftsprozessen verzichtet (anders als bei der Bank oder dem Web-Shop!)
• Der Web-Browser verlangt Bestätigung des von Dritten nicht beglaubigten Server-Zertifikats
• Das Prinzip hat sich bei der Telematika GmbH seit 3 Jahren bestens bewährt.
Eine Fördermaßnahme des
®
Praxis der HTTPS-Einrichtung und -Anwendung
Apache Webserver mit SSL
(auf Windows NT/2000/XP)
11
Eine Fördermaßnahme des
®
Apache Webserver mit SSL
• Download der erforderlichen Software– http://hunter.campbus.com
• Apache 2 mod_ssl, OpenSSL
12
Eine Fördermaßnahme des
®
Software installieren (5 Schritte)
• Backup der vorhandenen Apache-Installation (wichtig: „conf“-Verzeichnis)
• Extrahieren der Apache 2 mod_ssl (vorhandene Dateien überschrieben)
• „conf“-Verzeichnis zurück kopieren
• OpenSSL extrahieren (Unterverzeichnis OpenSSL in der Apache Installation)
13
Eine Fördermaßnahme des
®
Apache Webserver mit SSL
• ssleay32.dll und libeay32.dll in das WINNT\System32 Verzeichnis kopieren
14
Eine Fördermaßnahme des
®
Zertifikat erstellen (3 Schritte)
• Im openssl-Verzeichnis vom Apache-Ordner, öffnen Sie die Datei openssl.exe
15
Eine Fördermaßnahme des
®
Zertifikat erstellen (3 Schritte)
• folgende Befehle ausführen: – req -config openssl.cnf -new -out test-zertifikat.csr– rsa -in privkey.pem -out test-zertifikat.key – x509 -in test-zertifikat.csr -out test-zertifikat.crt -req -signkey test-
zertifikat.key -days 365
– x509 -in test-zertifikat.crt -out test-zertifikat.der.crt -outform DER • Sie haben jetzt ein Test-Zertifikat erstellt, welches 365 Tage
gültig ist. • Erstellen Sie einen Unterordner ssl im Apache-
Konfigurationsverzeichnis und kopieren Sie die Dateien test-zertifikat.crt, test-zertifikat.der.crt und test-zertifikat.key
16
Eine Fördermaßnahme des
®
Zertifikat erstellen (3 Schritte)
• Öffnen Sie die Datei httpd.conf im „conf“-Verzeichnis vom Apache-Webserver
Listen 80Listen 443LoadModule ssl_module c:/programme/Apache/modules/mod_ssl.soSSLMutex semSSLRandomSeed startup builtinSSLSessionCache noneSSLLog logs/SSL.logSSLLogLevel warn<VirtualHost 192.168.0.1:443> ServerName localhost DocumentRoot c:/intranet/apache/ssl SSLEngine On SSLCertificateFile conf/ssl/test-zertifikat.crt SSLCertificateKeyFile conf/ssl/test-zertifikat.key</VirtualHost>
17
Eine Fördermaßnahme des
®
Via UMTS und HTTPS ins Büro
18
Eine Fördermaßnahme des
®
Die Einwahl ins Büro – Auswahl SSL
19
Eine Fördermaßnahme des
®
Die Einwahl ins Büro – Sicherheitshinweis
20
Eine Fördermaßnahme des
®
Vertrautes Serverzertifikat ?
21
Eine Fördermaßnahme des
®
Details abrufen. Bürozugänge sind bekannt.
22
Eine Fördermaßnahme des
®
Serverzertifikat in Vertrauensliste eintragen.
23
Eine Fördermaßnahme des
®
Serverzertifikat in Vertrauensliste eintragen.
24
Eine Fördermaßnahme des
®
Serverzertifikat in Vertrauensliste eintragen.
25
Eine Fördermaßnahme des
®
Serverzertifikat in Vertrauensliste eintragen.
26
Eine Fördermaßnahme des
®
Office-Daten im verschlüsselten Zugriff.
27
Eine Fördermaßnahme des
®
Anregungen
• Typische „EDV-Lösungen“ nur intern verfügbar
• Zunehmende Möglichkeiten des mobilen Internets machen auch Geschäftsprozesse mobil
• Flexible Arbeitsformen im Büro, zu Hause oder unterwegs lohnend
• Preiswerte Notebooks zusätzlicher Anreiz zum mobilen Arbeiten
28
Eine Fördermaßnahme des
®
Geschäftsapplikationen im täglichen Einsatz
• mit bizOrg Geschäftsprozesse zeit- und ortsunabhängig bearbeiten:– Angebote schreiben, – Projekte dokumentieren, – Arbeitsabläufe organisieren– Emails senden & empfangen
29
Eine Fördermaßnahme des
®
Produkte der Telematika mit Unterstützung für SSL-Verbindungen
• BusinessOrganizer www.bizorg.de
• Content-Management-Systemwww.bizred.de
• LearnOrganizer www.learnorg.de
Online-Vermarktung seit 2002
30
Eine Fördermaßnahme des
®
Best Practice Partner
Telematika GmbH
Friedrich-Barnewitz-Str. 3 18119 Rostock
iwww.telematika.de
Sie wünschen ausführliche Informationen zum Best Practice Anwendungsfall „Serverzertifikate“ ?
Gern helfen wir Ihnen weiter.
Kontakt: