Mercurial > trustbridge
annotate doc/help/admin/server.rst @ 1371:23df332b2a4c
(issue179) Read install signature timestamp from config
This also changes the way the sigDt is propgated to the
MainWindow. It no longer uses the settings but hands
it over as a parameter directly.
| author | Andre Heinecke <andre.heinecke@intevation.de> |
|---|---|
| date | Mon, 24 Nov 2014 15:48:49 +0100 |
| parents | b53434f9280a |
| children |
| rev | line source |
|---|---|
|
1240
17aa7cf0bedd
(help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff
changeset
|
1 Server-Anforderungen |
|
17aa7cf0bedd
(help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff
changeset
|
2 ==================== |
|
17aa7cf0bedd
(help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff
changeset
|
3 |
|
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
4 Der TrustBridge-Update-Server stellt die Softwareversionen und |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
5 Zertifikatslisten für den TrustBridge-Client bereit. |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
6 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
7 An den Betrieb des Update-Servers werden folgende Anforderungen |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
8 gestellt: |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
9 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
10 * eine öffentlich zugängliche URL eines Download-Verzeichnises |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
11 (optional: Verzeichnis ist im Browser auflistbar). |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
12 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
13 * Ausliefern aller Dateien nur über https (Version TLS 1.2) |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
14 in der Konfiguration und Einhaltung der Technischen Richtlinie |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
15 `"BSI TR-02102-2 Verwendung von Transport Layer Security (TLS)" |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
16 <https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.html>`_: |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
17 Cipher-Suite: ECDSA (mit brainpoolP256r1), |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
18 maximal TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384; |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
19 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
20 * Manuelles Heraufladen von neue Dateien ermöglichen (z.B. per SCP; nur für den |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
21 TrustBridge-Administrator). |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
22 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
23 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
24 Zertifikatsanforderungen |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
25 ------------------------ |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
26 |
|
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
27 Code-Signing-Zertifikat |
|
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
28 ....................... |
|
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
29 Für die Signatur des TrustBridge-Windows-Installers wird ein |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
30 Code-Signing-Zertifikat von einer vertrauenswürdigen, vorinstallierten |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
31 Zertifizierungsstelle auf Windows benötigt, um Authenticode für die |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
32 Verifikation der Erstinstallation nutzen zu können. |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
33 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
34 * Empfohlene Schlüssellänge: RSA 2048 oder 3076 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
35 * Empfohlener Hash-Algorithmus: SHA-256 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
36 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
37 Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
38 muss in der TrustBridge-Verwaltungsanwendung beim Erstellen eines |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
39 neuen Installationspakets angegeben werden. |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
40 |
|
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
41 Der Schlüssel des Code-Signing-Zertifikats für Windows |
|
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
42 wird auch zur Erstellung der RSA-Signatur des GNU/Linux-Installers verwendet. |
|
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
43 |
|
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
44 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
45 Schlüsselmaterial für Listensignatur |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
46 .................................... |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
47 Jede Zertifikatsliste wird mit einem geheimen Schlüssel signiert. |
|
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
48 Der zugehörige öffentliche Schlüssel ist in TrustBridge zur Signaturprüfung |
|
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
49 fest eingebaut. |
|
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
50 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
51 * Empfohlene Schlüssellänge: RSA 3076 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
52 * Empfohlener Hash-Algorithmus: SHA-256 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
53 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
54 Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
55 muss in der TrustBridge-Verwaltungsanwendung beim Erstellen einer |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
56 neuer Zertifikatsliste angegeben werden. |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
57 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
58 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
59 Zertifikat für Update-Server |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
60 ............................ |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
61 Der Transport von Zertifikatslisten und Softwareupdates wird |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
62 per HTTPS (Version TLS 1.2) abgesichert. |
|
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
63 Das zugehörige öffentliche Zertifikat ist in TrustBridge fest eingebaut. |
|
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
64 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
65 Empfohlenes Verfahren ist ECDSA mit brainpoolP256r1-Parametern. Das Zertifikat |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
66 sollte den X.509 Standards (rfc5639, rfc7027) entsprechen und mit |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
67 PolarSSL funktionieren. Die X.509-Standards sind wichtig, damit das |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
68 mit neueren Klienten (wie Webbrowsern) gleich funktioniert, sobald |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
69 diese auch die entsprechende Kurve beherrschen. |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
70 |
|
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
71 Der geheime Schlüssel wird zum Update-Server übertragen. |