3 Jahre Anwendungserfahrungmit Serverzertifikat / SSL

Geschäftsapplikation: Webbasiertes Projektmanagement und Office-Organizer

Best Practicezur Einrichtung von Internet-

Sicherheit für das „Mobile Büro“

Eine Fördermaßnahme des

®

2

Eine Fördermaßnahme des

®

Hintergrund der geschäftlichen Internetnutzung

• Internet als universelle Plattform zur Abbildung ihrer internen Geschäftsprozesse

• Standard-Web-Browser als universelles Anwendungsprogramm

• Noch interessanter: Geschützte Bereitstellung geschäftlicher Web-Applikationen via Internet

• Unterstützt Telearbeitsformen und geschäftliche Telekooperation zwischen Unternehmen

• geschützte Webserver-Kommunikation mit HTTPS

3

Eine Fördermaßnahme des

®

Ausgangssituation bezüglich Internetsicherheit

• Informationen laufen über unbekannte Netze und Teilverbindungen

• Detektor hat uneingeschränkte Möglichkeiten der Informationserkennung

• unabhängig vom Internetdienst• Web-Server mit Geschäftsdaten benötigen

verschlüsselte Datenübertragungen

4

Eine Fördermaßnahme des

®

Typisches Technikbeispiel für`s „Mobile Büro“

Büro-Drucker

Speichererweiterungen viaUSB2 / IEEE 1349

Datensicherung

File-Server / Web-Server mit geschäftlichen Web-Applikationen

Serverzertifikat

Office-ServerHTTPS / SSL

wLAN / Router / ADSL-Modem Firewall / DHCP / IP-Location-Service

Switchhub / Printserver / VPN-Server …

Gerätegeneration Multifunktionsrouter

mobileBüro-PCs

wLAN im Büro

LAN / Büro-PCs

xDSL-Internetzugang

Eine Fördermaßnahme des

®

Ein wenig Grundlagen

… zum verschlüsselten Geschäftsdatenaustausch zwischen

einem Bürodatenserver und dem Internet-Office.

6

Eine Fördermaßnahme des

®

Was ist SSL?

• SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security entwickelt

• Gewährleistet, dass Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher

7

Eine Fördermaßnahme des

®

Übersicht zu HTTPS als Verschlüsselungsschicht

• HTTPS-Verbindung ist symmetrisch verschlüsselt• Verbindungsaufbau: Ein Zertifikat wird vom Server

geladen. • Spezielle Trust-Server im Internet als

vertrauenswürdige Dritte • Kostenpflichtiges Zertifikat beim CA hinterlegen• Standard-Web-Browser benutzen bereits bekannte

CAs • Verschlüsselte Verbindung, z.B. HTTPS für

Geschäftsapplikationen.• SSL unterstützt DES, RSA, RC4, Blowfish u.a.

8

Eine Fördermaßnahme des

®

Details zu HTTPS / SSL – Der Ablauf

• HTTP-Client stellt Verbindungsanfrage an HTTP-Server • HTTP-Server sendet digital signiertes Zertifikat an Client • Client prüft das Vertrauen des Server-Zertifikats und ob Zertifikatdaten formal

mit Zusatzinformationen des Servers übereinstimmen • Client verhandelt mit dem Server, welche Verschlüsselungsprotokolle (-

methoden / Schlüsselarten) beide Seiten kennen • Der HTTP-Server teilt Client den „best möglichen“ Algorithmus mit • Der Client nutzt diesen Verschlüsselungsalgorithmus und erzeugt einen HTTPS-

Sitzungschlüssel. Der Web-Client verschlüsselt diesen Schlüssel dabei mit dem öffentlichen Schlüssel des Web-Servers und übergibt diesen an den Server.

• Der Server benutzt seinen privaten Schlüssel und erkennt den Client- Sitzungsschlüssel, bestätigt die Schlüsselannahme

• Der Web-Client kommuniziert von nun an mit dem Sitzungschlüssel, sendet HTTPS-verschlüsselte Anfragen an den HTTPS-Server und erhält verschlüsselte Antworten

• Verbindungsabbau: Der HTTPS-Sitzungschlüssel wird verworfen. Bei der nächsten Verbindung wird ein neuer Sitzungsschlüssel generiert.

9

Eine Fördermaßnahme des

®

Einfache Anwendung eines komplizierten Verfahrens

• Der Web-Server wird für HTTPS ergänzt

• Auf die Einschaltung eines CAs (Trust-Centers) wird bei weitgehend internen Geschäftsprozessen verzichtet (anders als bei der Bank oder dem Web-Shop!)

• Der Web-Browser verlangt Bestätigung des von Dritten nicht beglaubigten Server-Zertifikats

• Das Prinzip hat sich bei der Telematika GmbH seit 3 Jahren bestens bewährt.

Eine Fördermaßnahme des

®

Praxis der HTTPS-Einrichtung und -Anwendung

Apache Webserver mit SSL

(auf Windows NT/2000/XP)

11

Eine Fördermaßnahme des

®

Apache Webserver mit SSL

• Download der erforderlichen Software– http://hunter.campbus.com

• Apache 2 mod_ssl, OpenSSL

12

Eine Fördermaßnahme des

®

Software installieren (5 Schritte)

• Backup der vorhandenen Apache-Installation (wichtig: „conf“-Verzeichnis)

• Extrahieren der Apache 2 mod_ssl (vorhandene Dateien überschrieben)

• „conf“-Verzeichnis zurück kopieren

• OpenSSL extrahieren (Unterverzeichnis OpenSSL in der Apache Installation)

13

Eine Fördermaßnahme des

®

Apache Webserver mit SSL

• ssleay32.dll und libeay32.dll in das WINNT\System32 Verzeichnis kopieren

14

Eine Fördermaßnahme des

®

Zertifikat erstellen (3 Schritte)

• Im openssl-Verzeichnis vom Apache-Ordner, öffnen Sie die Datei openssl.exe

15

Eine Fördermaßnahme des

®

Zertifikat erstellen (3 Schritte)

• folgende Befehle ausführen: – req -config openssl.cnf -new -out test-zertifikat.csr– rsa -in privkey.pem -out test-zertifikat.key – x509 -in test-zertifikat.csr -out test-zertifikat.crt -req -signkey test-

zertifikat.key -days 365

– x509 -in test-zertifikat.crt -out test-zertifikat.der.crt -outform DER • Sie haben jetzt ein Test-Zertifikat erstellt, welches 365 Tage

gültig ist. • Erstellen Sie einen Unterordner ssl im Apache-

Konfigurationsverzeichnis und kopieren Sie die Dateien test-zertifikat.crt, test-zertifikat.der.crt und test-zertifikat.key

16

Eine Fördermaßnahme des

®

Zertifikat erstellen (3 Schritte)

• Öffnen Sie die Datei httpd.conf im „conf“-Verzeichnis vom Apache-Webserver

Listen 80Listen 443LoadModule ssl_module c:/programme/Apache/modules/mod_ssl.soSSLMutex semSSLRandomSeed startup builtinSSLSessionCache noneSSLLog logs/SSL.logSSLLogLevel warn<VirtualHost 192.168.0.1:443> ServerName localhost DocumentRoot c:/intranet/apache/ssl SSLEngine On SSLCertificateFile conf/ssl/test-zertifikat.crt SSLCertificateKeyFile conf/ssl/test-zertifikat.key</VirtualHost>

17

Eine Fördermaßnahme des

®

Via UMTS und HTTPS ins Büro

18

Eine Fördermaßnahme des

®

Die Einwahl ins Büro – Auswahl SSL

19

Eine Fördermaßnahme des

®

Die Einwahl ins Büro – Sicherheitshinweis

20

Eine Fördermaßnahme des

®

Vertrautes Serverzertifikat ?

21

Eine Fördermaßnahme des

®

Details abrufen. Bürozugänge sind bekannt.

22

Eine Fördermaßnahme des

®

Serverzertifikat in Vertrauensliste eintragen.

23

Eine Fördermaßnahme des

®

Serverzertifikat in Vertrauensliste eintragen.

24

Eine Fördermaßnahme des

®

Serverzertifikat in Vertrauensliste eintragen.

25

Eine Fördermaßnahme des

®

Serverzertifikat in Vertrauensliste eintragen.

26

Eine Fördermaßnahme des

®

Office-Daten im verschlüsselten Zugriff.

27

Eine Fördermaßnahme des

®

Anregungen

• Typische „EDV-Lösungen“ nur intern verfügbar

• Zunehmende Möglichkeiten des mobilen Internets machen auch Geschäftsprozesse mobil

• Flexible Arbeitsformen im Büro, zu Hause oder unterwegs lohnend

• Preiswerte Notebooks zusätzlicher Anreiz zum mobilen Arbeiten

28

Eine Fördermaßnahme des

®

Geschäftsapplikationen im täglichen Einsatz

• mit bizOrg Geschäftsprozesse zeit- und ortsunabhängig bearbeiten:– Angebote schreiben, – Projekte dokumentieren, – Arbeitsabläufe organisieren– Emails senden & empfangen

29

Eine Fördermaßnahme des

®

Produkte der Telematika mit Unterstützung für SSL-Verbindungen

• BusinessOrganizer www.bizorg.de

• Content-Management-Systemwww.bizred.de

• LearnOrganizer www.learnorg.de

Online-Vermarktung seit 2002

30

Eine Fördermaßnahme des

®

Best Practice Partner

Telematika GmbH

Friedrich-Barnewitz-Str. 3 18119 Rostock

iwww.telematika.de

Sie wünschen ausführliche Informationen zum Best Practice Anwendungsfall „Serverzertifikate“ ?

Gern helfen wir Ihnen weiter.

Kontakt: