annotate doc/help/admin/server.rst @ 1390:f3e2df6b49ba

(issue181) Fix hardcoded values for RSA codesigning key size.
author Andre Heinecke <andre.heinecke@intevation.de>
date Mon, 19 Jan 2015 15:42:20 +0100
parents b53434f9280a
children
rev   line source
1240
17aa7cf0bedd (help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff changeset
1 Server-Anforderungen
17aa7cf0bedd (help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff changeset
2 ====================
17aa7cf0bedd (help-admin) Added new help page about installation, server and gui.
Emanuel Schuetze <emanuel@intevation.de>
parents:
diff changeset
3
1269
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
4 Der TrustBridge-Update-Server stellt die Softwareversionen und
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
5 Zertifikatslisten für den TrustBridge-Client bereit.
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
6
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
7 An den Betrieb des Update-Servers werden folgende Anforderungen
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
8 gestellt:
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
9
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
10 * eine öffentlich zugängliche URL eines Download-Verzeichnises
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
11 (optional: Verzeichnis ist im Browser auflistbar).
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
12
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
13 * Ausliefern aller Dateien nur über https (Version TLS 1.2)
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
14 in der Konfiguration und Einhaltung der Technischen Richtlinie
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
15 `"BSI TR-02102-2 Verwendung von Transport Layer Security (TLS)"
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
16 <https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/TechnischeRichtlinien/TR02102/BSI-TR-02102-2_pdf.html>`_:
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
17 Cipher-Suite: ECDSA (mit brainpoolP256r1),
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
18 maximal TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384;
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
19
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
20 * Manuelles Heraufladen von neue Dateien ermöglichen (z.B. per SCP; nur für den
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
21 TrustBridge-Administrator).
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
22
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
23
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
24 Zertifikatsanforderungen
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
25 ------------------------
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
26
1279
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
27 Code-Signing-Zertifikat
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
28 .......................
1269
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
29 Für die Signatur des TrustBridge-Windows-Installers wird ein
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
30 Code-Signing-Zertifikat von einer vertrauenswürdigen, vorinstallierten
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
31 Zertifizierungsstelle auf Windows benötigt, um Authenticode für die
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
32 Verifikation der Erstinstallation nutzen zu können.
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
33
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
34 * Empfohlene Schlüssellänge: RSA 2048 oder 3076
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
35 * Empfohlener Hash-Algorithmus: SHA-256
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
36
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
37 Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
38 muss in der TrustBridge-Verwaltungsanwendung beim Erstellen eines
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
39 neuen Installationspakets angegeben werden.
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
40
1279
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
41 Der Schlüssel des Code-Signing-Zertifikats für Windows
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
42 wird auch zur Erstellung der RSA-Signatur des GNU/Linux-Installers verwendet.
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
43
1269
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
44
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
45 Schlüsselmaterial für Listensignatur
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
46 ....................................
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
47 Jede Zertifikatsliste wird mit einem geheimen Schlüssel signiert.
1279
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
48 Der zugehörige öffentliche Schlüssel ist in TrustBridge zur Signaturprüfung
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
49 fest eingebaut.
1269
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
50
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
51 * Empfohlene Schlüssellänge: RSA 3076
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
52 * Empfohlener Hash-Algorithmus: SHA-256
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
53
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
54 Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
55 muss in der TrustBridge-Verwaltungsanwendung beim Erstellen einer
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
56 neuer Zertifikatsliste angegeben werden.
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
57
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
58
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
59 Zertifikat für Update-Server
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
60 ............................
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
61 Der Transport von Zertifikatslisten und Softwareupdates wird
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
62 per HTTPS (Version TLS 1.2) abgesichert.
1279
b53434f9280a (admin-help) Fixed TODOs.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1269
diff changeset
63 Das zugehörige öffentliche Zertifikat ist in TrustBridge fest eingebaut.
1269
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
64
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
65 Empfohlenes Verfahren ist ECDSA mit brainpoolP256r1-Parametern. Das Zertifikat
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
66 sollte den X.509 Standards (rfc5639, rfc7027) entsprechen und mit
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
67 PolarSSL funktionieren. Die X.509-Standards sind wichtig, damit das
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
68 mit neueren Klienten (wie Webbrowsern) gleich funktioniert, sobald
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
69 diese auch die entsprechende Kurve beherrschen.
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
70
b8ec9a52eae8 (help-admin) Installation and server.
Emanuel Schuetze <emanuel@intevation.de>
parents: 1240
diff changeset
71 Der geheime Schlüssel wird zum Update-Server übertragen.

http://wald.intevation.org/projects/trustbridge/