PROSOZ Bau online - BauPortaldownload.prosoz.de/bauen/xmlservice/info/PROSOZ Bau online -...
Transcript of PROSOZ Bau online - BauPortaldownload.prosoz.de/bauen/xmlservice/info/PROSOZ Bau online -...
&
PROSOZ Bau online - BauPortal
notwendige Einstellungen für die Verwendung
Dokumentversion 1.2 vom 3. Mai 2018
GFD Bauen
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Schreibweisen Seite 3 von 18
Inhaltsverzeichnis
1 Schreibweisen................................................................................................................. 4
2 Übersicht ......................................................................................................................... 5
2.1 Sicherheitsvoraussetzungen .................................................................................. 5
2.2 Anforderungen ....................................................................................................... 5
2.3 BauPortal ............................................................................................................... 5
2.4 Service Controller unter Apache Tomcat ................................................................ 5
3 Anforderungen umsetzen ................................................................................................ 6
3.1 Anfragen auf HTTPS umleiten ............................................................................... 6
3.2 Bindung an Port 80 entfernen ................................................................................ 8
3.3 schwache Verschlüsselungsalgorithmen deaktivieren .......................................... 10
3.4 Session-Verhalten in PHP anpassen ................................................................... 12
3.5 eigene Fehlerseiten konfigurieren ........................................................................ 13
4 BauPortal ...................................................................................................................... 14
4.1 Dateien aktualisieren ........................................................................................... 14
4.2 Konfiguration aktualisieren ................................................................................... 15
5 Service Controller unter Apache Tomcat ....................................................................... 16
5.1 ProsozServices.jar aktualisieren .......................................................................... 16
5.2 Konfiguration ergänzen ........................................................................................ 16
6 Abbildungsverzeichnis .................................................................................................. 17
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 4 von 18 Schreibweisen
1 Schreibweisen
Wir verwenden in diesem Text folgende Schreibweisen:
Funktion
[Schaltfläche] Der in eckige Klammern gesetzte Begriff findet sich als Schaltfläche auf
der Softwareoberfläche wieder. Ein Klick darauf löst eine Aktion aus.
{Feld/Begriff} Ein in geschweifte Klammern gesetzter Begriff findet sich als
Feldbezeichnung, Beschreibung eines Optionsfeldes oder einfach als
Begriff auf der gerade beschriebenen Softwareoberfläche wieder.
»Karteireiter, -
karte«
Der in Dreiecksklammern gesetzte Begriff ist der Titel eines
Karteireiters. Wir strukturieren umfangreiche Programmpunkte (ein
Beispiel: Stammdatenaufnahme) dadurch übersichtlich, dass wir sie auf
mehrere „Bildschirmseiten“ verteilen. Allein durch einen Klick auf eine
der anderen Reiterbezeichnungen erfolgt der Wechsel auf diese andere
Maske.
<Taste> Taste auf der Tastatur
Tabelle 1: vereinbarte Schreibweisen
Wichtige oder besondere Hinweise heben wir so hervor.
Dieses Symbol im Text weist Sie immer auf etwas ganz besonderes hin.
In der Regel verlangt es von Ihnen eine Handlung.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Übersicht Seite 5 von 18
2 Übersicht
2.1 Sicherheitsvoraussetzungen
Ab sofort wird der Zugriff auf das BauPortal nur noch über HTTPS
unterstützt.
Die Verwendung des BauPortals setzt ab der Version vom Februar 2018 voraus, dass den
Endanwendern eine gesicherte Ende-zu-Ende verschlüsselte Verbindung via HTTPS gebo-
ten wird.
Bitte beachten Sie, dass daher auf dem verwendeten Webserver bzw. auf dem Reverse-
Proxy ein gültiges SSL-Zertifikat eingesetzt werden muss.
2.2 Anforderungen
Im Folgenden Kapitel 3 demonstrieren wir anhand des Microsoft-Webservers IIS8 eine
Beispielkonfiguration, die die folgenden Anforderungen umsetzt:
1. Anfragen auf HTTPS umleiten
2. Bindungen an Port 80 entfernen
3. schwache Verschlüsselungsalgorithmen deaktivieren
4. Session-Verhalten in PHP anpassen
5. eigene Fehlerseiten konfigurieren
Wenn Sie einen anderen Webserver einsetzen, müssen Sie diese Anforderungen dement-
sprechend umsetzen. Nachdem Sie die Anforderungen umgesetzt haben, sind noch diese
folgenende Schritte durchzurühren:
2.3 BauPortal
Die Dateien der Webseite müssen Sie aktualisieren. Siehe hierzu Kapitel 4.
2.4 Service Controller unter Apache Tomcat
ProsozServices.jar aktualisieren und Konfiguration ergänzen. Siehe hierzu Kaptiel 5.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 6 von 18 Anforderungen umsetzen
3 Anforderungen umsetzen
Wir zeigen Ihnen an einem Beispiel, wie Sie die Anforderung umsetzen können.
Wir setzen dabei voraus, dass auf Ihrem Webserver PHP in der Version 5.6 installiert ist.
3.1 Anfragen auf HTTPS umleiten
Wir setzen voraus, dass bereits ein SSL-Zertifikat installiert ist und eine Bindung an Port 443
für die Webseite eingerichtet wurde.
Alternativ können Sie die Umleitung auch durch andere Maßnahmen umsetzen. Dann sollten
Sie jedoch die Bindung an Port 80 entfernen. Auch dies erläutern wir.
Eine einfache Möglichkeit, alle eingehenden Anfragen auf HTTPS umzuleiten, ist die Ver-
wendung des URL Rewrite Moduls, das ab IIS7 verwendet werden kann. Sie können das
Modul hier herunterladen:
http://www.iis.net/downloads/microsoft/url-rewrite
Nach der Installation des Moduls und einem Neustart des Serverdienstes ist das Modul im
IIS-Manager verfügbar:
Abbildung 1: URL Rewrite Modul
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Anforderungen umsetzen Seite 7 von 18
Anschließend muss in der zur Webseite gehörenden Datei web.config der Abschnitt
<rewrite> hinzugefügt werden. Eine Standard-Datei würde dann insgesamt so aussehen:
C:\inetpub\wwwroot\web.config
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="HTTP/S to HTTPS Redirect" enabled="true" stopProcessing="true">
<match url="(.*)" />
<conditions logicalGrouping="MatchAny">
<add input="{SERVER_PORT_SECURE}" pattern="^0$" />
</conditions>
<action type="Redirect" url="https://{HTTP_HOST}{REQUEST_URI}"
appendQueryString="true" redirectType="Permanent" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
Sie können den Abschnitt <rewrite> aus dem obigen Beispiel einfach übernehmen. Nach
dem Speichern der Datei ist die Regel umgehend aktiv und eingehende Anfragen werden
fortan auf das Protokoll HTTPS umgeleitet.
Nachdem Sie diesen Punkt umgesetzt haben, können Sie Punkt 3.2 überspringen.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 8 von 18 Anforderungen umsetzen
3.2 Bindung an Port 80 entfernen
Falls Sie keine Weiterleitung einrichten können oder möchten, stellen Sie bitte sicher, dass
für die Seite auf der sich das BauPortal befindet ausschließlich Bindungen an den Port 443
vorhanden sind.
Markieren Sie hierzu die entsprechende Webseite im IIS-Manager und klicken auf
[Bindungen]:
Abbildung 2: Aufrufen der Site Bindungen
Bitte entfernen Sie hier die Bindung an Port 80 und alle evtl. vorhandenen sonstigen
Bindungen, außer der zu Port 443:
Abbildung 3: Server Bindungen entfernen
Sollte in diesem Fenster noch keine Bindung zu Port 443 vorhanden sein, müssen Sie sie
hinzufügen (siehe nächste Seite).
Nach dem Entfernen der Bindung an Port 80 ist die Seite nur noch über HTTPS erreichbar. Eine Umleitung von HTTP auf HTTPS müssen Sie dan ggf. mit externen Mitteln umsetzen.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Anforderungen umsetzen Seite 9 von 18
Falls noch keine Bindung an Port 443 vorhanden ist, klicken Sie auf [Hinzufügen]. Im
folgenden Fenster wählen Sie oben den Typ {https} und wählen unten das SSL-Zertifikat
aus:
Abbildung 4: https-Bindung
Falls Sie hier kein SSL-Zertifikat auswählen können, ist auf dem Server kein gültiges SSL-
Zertifikat installiert.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 10 von 18 Anforderungen umsetzen
3.3 schwache Verschlüsselungsalgorithmen deaktivieren
Es empfiehlt sich, mindestens die folgenden Verschlüsselungsalgorithmen unter Windows
Server zu deaktivieren:
DES und RC4 Stromverschlüsselung:
- RC4 128/128
- RC4 40/128
- RC4 56/128
- Triple DES 168
- Triple DES 168/168
SSL v3
Im Folgenden ist eine Beispieldatei angegeben, die die Deaktivierung der erwähnten Algo-
rithmen umsetzt.
Sie können diesen Text z. B. in eine Datei mit der Dateinamenserweiterung „reg“ kopieren
und sie durch Rechtsklick -> [Zusammenführen] automatisch in die Windows-Registry
übernehmen.
Bitte prüfen Sie im Anschluss, ob die Werte wirklich in die Registrierung übernommen wur-
den, indem Sie sich die entsprechenden Pfade mittels Regedit ansehen. Natürlich können
Sie alternativ dort die Schlüssel und Werte auch manuell eingeben.
Bitte bedenken Sie, dass auch andere Algorithmen, die heute als sicher gelten, in Zukunft als
unsicher eingestuft werden können. Daher erheben diese Liste und die im Anschluss vorge-
stellte Datei keinen Anspruch auf Vollständigkeit!
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Anforderungen umsetzen Seite 11 von 18
Beispiel für die Umsetzung:
Windows Registry Editor Version 5.00
; Deaktivieren von DES und RC4 Stromverschlüsselung
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\Triple DES 168/168]
"Enabled"=dword:00000000
; SSLv3 deaktivieren
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"Enabled"=dword:00000000
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 12 von 18 Anforderungen umsetzen
3.4 Session-Verhalten in PHP anpassen
Wir empfehlen, die Einstellungen für den Garbage-Collector in PHP an das Anfrageauf-
kommen auf dem Webserver anzupassen.
Es gibt in der PHP.ini hierzu drei Einstellungen, die angepasst werden können:
session.gc_maxlifetime = 3600
session.gc_probability = 1
session.gc_divisor = 100
Diese Einstellungen besagen, dass bei jedem 100. Aufruf der Garbage-Collector in PHP
startet und Session-Dateien löscht, die unbenutzt und älter als 3600 Sekunden (= 1 Stunde)
sind.
Da die Garbage-Collection einerseits verhältnismäßig viele Ressourcen benötigt, anderer-
seits aber aus Sicherheitsgründen unbenutzte Session-Dateien entfernen sollte, empfiehlt
sich eine Anpassung. Besonders dann, wenn das BauPortal unverhältnismäßig lange zum
Laden benötigt oder falls sich unverhältnismäßig viele Session-Dateien ansammeln.
Grundsätzlich muss diese Einschätzung auf dem Anfrageaufkommen basieren, das der
Webserver bewältigen muss. Daher ist es ratsam, die Einstellung anzupassen, wenn im Lauf
der Zeit die Webseite häufiger besucht wird.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Anforderungen umsetzen Seite 13 von 18
3.5 eigene Fehlerseiten konfigurieren
Die in Microsoft IIS enthaltenen Standardfehlerseiten lassen Rückschlüsse auf die verwen-
dete Webserverversion zu. Wir empfehlen daher, diese auszutauschen. Sie sollten entweder
zum übrigen Design des Internetauftritts passende Fehlerseiten verwenden oder auf völlig
neutrale Varianten zurückgreifen.
In einer unveränderten Installation des deutschsprachigen IIS befinden sich die Fehlerseiten
hier:
C:\inetpub\custerr\de-DE
Die Definition der Fehlerseiten und der entsprechenden Speicherorte kann über den IIS-
Manager bearbeitet werden, indem man für die Webseite einen Doppelklick auf
[Fehlerseiten] macht:
Abbildung 5: Modul Fehlerseiten
Beispiel für eigene Fehlerseite
Hier am Beispiel der Meldung für den Fehler 404 – Datei nicht gefunden:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/>
<title>404 - Datei oder Verzeichnis wurde nicht gefunden.</title>
</head>
<body>
<h2>404 - Datei oder Verzeichnis wurde nicht gefunden.</h2>
</body>
</html>
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 14 von 18 BauPortal
4 BauPortal
4.1 Dateien aktualisieren
Bitte laden Sie sich die aktuelle Version von BauPortal hier herunter:
http://download.prosoz.de/bauen/xmlservice/misc/updates/updates.html
Das Archiv enthält Dateien und Ordner. Folgende Ordner und ihre Inhalte müssen Sie auf
Ihrem vorhandenen Webserver durch die neuen Versionen ersetzen:
BauPortal\ajax
BauPortal\includes
BauPortal\lib
Die Inhalte des Ordners
BauPortal\conf\muster_beispiel
werden Ihrem kundenspezifischen Ordner hinzugefügt, ohne dabei bereits vorhandene
Dateien zu überschreiben. Der kundenspezifische Ordner befindet sich auf Ihrem Webserver
immer im Verzeichnis „conf“ und entspricht in den meisten Fällen Ihrem Verwaltungsnamen.
Beispiel:
1. Sie löschen aus Ihrem Webserververzeichnis die Ordner ajax, includes und lib.
2. Sie kopieren die Ordner ajax, includes und lib aus dem heruntergeladenen Archiv
in Ihr Webserververzeichnis.
3. Sie kopieren die Inhalte aus dem Ordner conf\muster_beispiel in den
Ordner conf\herten – und erhalten einen Dialog, dass die Dateien bereits vorhanden
sind. Dort wählen Sie für alle Dateien überspringen aus.
4. Kopieren Sie die Dateien index.php, getParameter.php und init_ids.php aus dem
heruntergeladenen Archiv in den Ordner BauPortal und ersetzen Sie die bereits
vorhandenen Dateien.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
BauPortal Seite 15 von 18
4.2 Konfiguration aktualisieren
Nun müssen Sie einige Zeilen in der zentralen Konfigurationsdatei in Ihrem
Webserververzeichnis anpassen.
Diese Datei heißt:
BauPortal\conf\main.php
1. Öffnen Sie die Datei mit einem Texteditor und fügen Sie im Abschnitt {globale
Variablen} die folgende Zeile hinzu:
$conf_cookie_secure=1;
2. Suchen Sie nach der Zeile, die mit $DEBUGMODE beginnt und ändern Sie sie ggf. in:
$DEBUGMODE = false;
Bitte sorgen Sie zudem dafür, dass die Ordner
BauPortal\upload
BauPortal\log
BauPortal\lib\IDS\tmp
für den Webserver beschreibbar sind. Unter IIS müssen Sie dazu – je nach Konfiguration –
dem zugewiesenen Application Pool bzw. dem IUSR-Benutzer das Ändern-Recht erteilen.
Im Fall des Default App Pools heißt dieser so:
IIS AppPool\DefaultAppPool
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 16 von 18 Service Controller unter Apache Tomcat
5 Service Controller unter Apache Tomcat
5.1 ProsozServices.jar aktualisieren
Bitte laden Sie sich die Datei ProsozServices.zip hier herunter:
http://download.prosoz.de/bauen/xmlservice/misc/updates/updates.html
Die Datei enthält die aktuellen Versionen von ProsozServices.jar und vbabgv1.jar.
Um die Dateien einzuspielen, stoppen Sie bitte zunächst den Dienst des Apache Tomcat.
Extrahieren Sie dann die neuen Dateien an diesen Ort:
C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps\ProsozServices\WEB-INF\lib
Bitte benennen Sie die alten Dateien nicht einfach um! Falls Sie diese sichern möchten,
verwenden Sie dazu bitte einen Ordner außerhalb des lib-Verzeichnisses.
5.2 Konfiguration ergänzen
Öffnen Sie nun die Datei XMLService.ini mit einem Texteditor. Die Datei finden Sie hier:
C:\Program Files\Apache Software Foundation\Tomcat 8.5\webapps\ProsozServices\WEB-INF\conf
Bitte ersetzen Sie den bisherigen Inhalt der Datei durch diese Zeilen:
[Property]
MinPasswordSize=8
HTMLConvert=J
UsePasswordSpezialChar=J
PasswordSpezialChars=_%$#+*”
Bitte starten Sie den Dienst des Apache Tomcat abschließend wieder.
Damit ist die Aktualisierung des BauPortals abgeschlossen.
Bitte testen Sie im Anschluss alle Zugriffe und den Login über die die Portalseite.
Hierzu ist es notwendig, zunächst den Cache Ihres Browsers zu löschen, damit der Test
eindeutig ist.
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Abbildungsverzeichnis Seite 17 von 18
6 Abbildungsverzeichnis
Abbildung 1: URL Rewrite Modul ........................................................................................... 6 Abbildung 2: Aufrufen der Site Bindungen ............................................................................. 8 Abbildung 3: Server Bindungen entfernen .............................................................................. 8 Abbildung 4: https-Bindung .................................................................................................... 9 Abbildung 5: Modul Fehlerseiten .......................................................................................... 13
PROSOZ Bau online - BauPortal, Dokumentversion 1.2
Seite 18 von 18 Abbildungsverzeichnis
Impressum
PROSOZ Herten GmbH
Ewaldstraße 261, 45699 Herten
www.prosoz.de
Alle Rechte vorbehalten.
Dieses Dokument darf ausschließlich für interne
Zwecke entsprechend der vertraglich eingeräumten
Nutzungsrechte genutzt werden. Insbesondere ist die
Weitergabe dieses Dokumentes an Dritte – auch
auszugsweise - ohne schriftliche Genehmigung von
PROSOZ Herten untersagt. Für vorgenommene
Änderungen durch den Auftraggeber besteht keine
Haftung oder Prüfungspflicht der PROSOZ Herten.
Geschlechterneutrale Formulierungen gemäß
Europäischer Charta
In diesem Dokument wird für alle Personen die
männliche Sprachform verwendet. Hierin sollen keine
Bevorzugung des Männlichen und keine
Diskriminierung des Weiblichen zum Ausdruck
kommen, die gewählte Form dient allein der besseren
Übersichtlichkeit und Verständlichkeit des Textes.