Mercurial > trustbridge
annotate doc/help/admin/server.rst @ 1390:f3e2df6b49ba
(issue181) Fix hardcoded values for RSA codesigning key size.
author | Andre Heinecke <andre.heinecke@intevation.de> |
---|---|
date | Mon, 19 Jan 2015 15:42:20 +0100 |
parents | b53434f9280a |
children |
rev | line source |
---|---|
1240
17aa7cf0bedd
(help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff
changeset
|
1 Server-Anforderungen |
17aa7cf0bedd
(help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff
changeset
|
2 ==================== |
17aa7cf0bedd
(help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff
changeset
|
3 |
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
4 Der TrustBridge-Update-Server stellt die Softwareversionen und |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
5 Zertifikatslisten für den TrustBridge-Client bereit. |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
6 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
7 An den Betrieb des Update-Servers werden folgende Anforderungen |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
8 gestellt: |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
9 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
10 * eine öffentlich zugängliche URL eines Download-Verzeichnises |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
11 (optional: Verzeichnis ist im Browser auflistbar). |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
12 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
13 * Ausliefern aller Dateien nur über https (Version TLS 1.2) |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
14 in der Konfiguration und Einhaltung der Technischen Richtlinie |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
15 `"BSI TR-02102-2 Verwendung von Transport Layer Security (TLS)" |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
16 <https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.html>`_: |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
17 Cipher-Suite: ECDSA (mit brainpoolP256r1), |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
18 maximal TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384; |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
19 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
20 * Manuelles Heraufladen von neue Dateien ermöglichen (z.B. per SCP; nur für den |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
21 TrustBridge-Administrator). |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
22 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
23 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
24 Zertifikatsanforderungen |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
25 ------------------------ |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
26 |
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
27 Code-Signing-Zertifikat |
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
28 ....................... |
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
29 Für die Signatur des TrustBridge-Windows-Installers wird ein |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
30 Code-Signing-Zertifikat von einer vertrauenswürdigen, vorinstallierten |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
31 Zertifizierungsstelle auf Windows benötigt, um Authenticode für die |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
32 Verifikation der Erstinstallation nutzen zu können. |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
33 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
34 * Empfohlene Schlüssellänge: RSA 2048 oder 3076 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
35 * Empfohlener Hash-Algorithmus: SHA-256 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
36 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
37 Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
38 muss in der TrustBridge-Verwaltungsanwendung beim Erstellen eines |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
39 neuen Installationspakets angegeben werden. |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
40 |
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
41 Der Schlüssel des Code-Signing-Zertifikats für Windows |
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
42 wird auch zur Erstellung der RSA-Signatur des GNU/Linux-Installers verwendet. |
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
43 |
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
44 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
45 Schlüsselmaterial für Listensignatur |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
46 .................................... |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
47 Jede Zertifikatsliste wird mit einem geheimen Schlüssel signiert. |
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
48 Der zugehörige öffentliche Schlüssel ist in TrustBridge zur Signaturprüfung |
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
49 fest eingebaut. |
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
50 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
51 * Empfohlene Schlüssellänge: RSA 3076 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
52 * Empfohlener Hash-Algorithmus: SHA-256 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
53 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
54 Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
55 muss in der TrustBridge-Verwaltungsanwendung beim Erstellen einer |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
56 neuer Zertifikatsliste angegeben werden. |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
57 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
58 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
59 Zertifikat für Update-Server |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
60 ............................ |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
61 Der Transport von Zertifikatslisten und Softwareupdates wird |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
62 per HTTPS (Version TLS 1.2) abgesichert. |
1279
b53434f9280a
(admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1269
diff
changeset
|
63 Das zugehörige öffentliche Zertifikat ist in TrustBridge fest eingebaut. |
1269
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
64 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
65 Empfohlenes Verfahren ist ECDSA mit brainpoolP256r1-Parametern. Das Zertifikat |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
66 sollte den X.509 Standards (rfc5639, rfc7027) entsprechen und mit |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
67 PolarSSL funktionieren. Die X.509-Standards sind wichtig, damit das |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
68 mit neueren Klienten (wie Webbrowsern) gleich funktioniert, sobald |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
69 diese auch die entsprechende Kurve beherrschen. |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
70 |
b8ec9a52eae8
(help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents:
1240
diff
changeset
|
71 Der geheime Schlüssel wird zum Update-Server übertragen. |