# HG changeset patch # User Emanuel Schuetze # Date 1411973993 -7200 # Node ID b8ec9a52eae827ec21336e834c0cb1f67bcf2617 # Parent 2efdf2faf4e510a8e1babace3e549546dd85b2aa (help-admin) Installation and server. diff -r 2efdf2faf4e5 -r b8ec9a52eae8 doc/help/admin/installation.rst --- a/doc/help/admin/installation.rst Fri Sep 26 19:31:53 2014 +0200 +++ b/doc/help/admin/installation.rst Mon Sep 29 08:59:53 2014 +0200 @@ -1,15 +1,31 @@ Installation ============ +Systemanforderungen +------------------- Die TrustBridge-Verwaltungsanwendung läuft unter Windows und GNU/Linux. -Offiziell unterstützt und geprüft sind Windows 7 und Ubuntu 14.04 +Offiziell unterstützt und geprüft sind Windows 7 (64 Bit) und Ubuntu 14.04 (64 Bit). (jeweils 64 Bit). +Erforderlicher Festplattenplatz: 22 MB (Windows) bzw. 17 MB (Ubuntu). + +Nur Ubuntu: Die Pakete ``nsis`` und ``sharutils`` sind erforderlich +für den Einsatz von TrustBridge-Admin. + +Windows +------- +TrustBridge-Admin muss nicht installiert werden und bringt alle +erforderlichen Abhängigkeiten mit. Einfach das +Zip-Archivs entpacken und die darin enthaltene +``trustbridge-admin.exe`` starten. + -TODO: Systemvoraussetzung, Windows, Ubuntu +Ubuntu +------ +Zunächst bitte die nötigen Paketabhängigkeiten installieren: -Systemvoraussetzungen ---------------------- +``sudo apt-get install nsis sharutils`` -* erforderlicher Festplattenplatz: ca. 20 MB +Anschließend das Zip-Archiv entpacken und die darin enthaltene +``trustbridge-admin`` starten. diff -r 2efdf2faf4e5 -r b8ec9a52eae8 doc/help/admin/server.rst --- a/doc/help/admin/server.rst Fri Sep 26 19:31:53 2014 +0200 +++ b/doc/help/admin/server.rst Mon Sep 29 08:59:53 2014 +0200 @@ -1,4 +1,70 @@ Server-Anforderungen ==================== -TODO +Der TrustBridge-Update-Server stellt die Softwareversionen und +Zertifikatslisten für den TrustBridge-Client bereit. + +An den Betrieb des Update-Servers werden folgende Anforderungen +gestellt: + +* eine öffentlich zugängliche URL eines Download-Verzeichnises + (optional: Verzeichnis ist im Browser auflistbar). + +* Ausliefern aller Dateien nur über https (Version TLS 1.2) + in der Konfiguration und Einhaltung der Technischen Richtlinie + `"BSI TR-02102-2 Verwendung von Transport Layer Security (TLS)" + `_: + Cipher-Suite: ECDSA (mit brainpoolP256r1), + maximal TLS-ECDHE-ECDSA-WITH-AES-256-CBC-SHA384; + +* Manuelles Heraufladen von neue Dateien ermöglichen (z.B. per SCP; nur für den + TrustBridge-Administrator). + + +Zertifikatsanforderungen +------------------------ + +Windows-Code-Signing-Zertifikat +............................... +Für die Signatur des TrustBridge-Windows-Installers wird ein +Code-Signing-Zertifikat von einer vertrauenswürdigen, vorinstallierten +Zertifizierungsstelle auf Windows benötigt, um Authenticode für die +Verifikation der Erstinstallation nutzen zu können. + +* Empfohlene Schlüssellänge: RSA 2048 oder 3076 +* Empfohlener Hash-Algorithmus: SHA-256 + +Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und +muss in der TrustBridge-Verwaltungsanwendung beim Erstellen eines +neuen Installationspakets angegeben werden. + +TODO: Gleiches Zertifikat auf zum Signieren des Linux-Binaries? + +Schlüsselmaterial für Listensignatur +.................................... +Jede Zertifikatsliste wird mit einem geheimen Schlüssel signiert. +Das zugehörige öffentliche Zertifikat ist in TrustBridge zur Signaturprüfung +fest verdrahtet. (TODO: korrekt?) + +* Empfohlene Schlüssellänge: RSA 3076 +* Empfohlener Hash-Algorithmus: SHA-256 + +Der geheime Schlüssel verbleibt beim TrustBridge-Administrator und +muss in der TrustBridge-Verwaltungsanwendung beim Erstellen einer +neuer Zertifikatsliste angegeben werden. + + + +Zertifikat für Update-Server +............................ +Der Transport von Zertifikatslisten und Softwareupdates wird +per HTTPS (Version TLS 1.2) abgesichert. +Das zugehörige öffentliche Zertifikat ist in TrustBridge fest verdrahtet. (TODO: korrekt?) + +Empfohlenes Verfahren ist ECDSA mit brainpoolP256r1-Parametern. Das Zertifikat +sollte den X.509 Standards (rfc5639, rfc7027) entsprechen und mit +PolarSSL funktionieren. Die X.509-Standards sind wichtig, damit das +mit neueren Klienten (wie Webbrowsern) gleich funktioniert, sobald +diese auch die entsprechende Kurve beherrschen. + +Der geheime Schlüssel wird zum Update-Server übertragen.