SSL Verschlüsselung

Infos zu Lets-Encrypt Zertifikaten

Ein Lets-Encrypt-Zertifikat kann nicht direkt im XTCloudserver verwendet werden, da dieses alle 3 Monate automatisch erneuert werden muss. Dafür ist es erforderlich, dass der Port 80 des Windows-Servers exklusiv dem XTCloudServer zur Verfügung gestellt wird. Lets-Encrypt stellt dann über eine Sicherheitsprüfung fest, dass der Server tatsächlich demjenigen gehört, der im Zertifikat genannt ist. Der Port 80 ist aber in der Regel auf Servern schon mit anderen Diensten belegt, z.B. vom IIS. Über einen Reverse-Proxy könnte der Port 80 aber auch anderen Diensten, abhängig von der verwendeten URL, zur Verfügung stellen.

SSL im XTCloudServer (XTRESTAPI):

Das SSL für das XTRESTAPI im XTCloudServer, dient nur der Transportverschlüsselung damit niemand im Man-In-The-Middle-Verfahren die übertragenen Daten mitlesen kann. Dieses Zertifikat tritt in der Regel aber niemals nach außen hin auf, um im Browser auf Gültigkeit geprüft zu werden.

SSL im XTCloudServer für die Auslieferung der Programmdateien (XTWEB-Oberfläche)

Damit die XTWEB-Anwendung die als SPA (Single-Page-App in Javascript) ausschließlich im Browser läuft über die URL dann dauerhaft (bis zur nächsten Programmversionsänderung oder wenn der Cache abläuft) in den Browser geladen werden kann, wird ein weiterer Webserver-Endpoint benötigt der die notwendigen Anwendungsdateien übertragen kann. Dies kann z.B. der IIS übernehmen. Zur Vereinfachung der Installation und des Handlings liefern wir einen einfachen integrierten Webserver mit. Dieser enthält aber bei Weitem nicht den Funktionsumfang eines Webservers wie dem IIS oder Apache. Das SSL-Zertifikat das hier ausgeliefert wird kann ein ganz anderes sein, als das des XTRESTAPI und wird benötigt um die Identitätsprüfung des Servers vorzunehmen, um sicherzustellen, dass die Dateien tatsächlich aus einer vertrauensvollen Quelle bezogen wurden. Hier kommt dann ein offizielles nicht-selbst-signiertes Zertifikat ins Spiel, da die gängigen Browser nur Zertifikate von offiziellen Stellen ohne Probleme durchwinken.

Reverse-Proxy

Über einen Reverse-Proxy können Sie eingehenden Datenverkehr über geöffnete Ports steuern bzw. umleiten. Dadurch ist es möglich nach außen hin ein anderes Zertifikat auf den Datenverkehr zu packen. Wir haben z.B. eine solche Installation mit einem Synology-NAS aufgebaut welches einen integrierten Reverse-Proxy enthält und auch bereits über einen eigenen Webserver mit dem Internet verbunden ist (wie es bei nahezu allen NAS möglich ist). Das NAS kümmert sich dann automatisiert um die Verlängerung des Lets-Encrypt-Zertifikats und leitet alle Anfragen für eine bestimmte URL an den XTCloudServer (XTRESTAPI) weiter. Die Antwort des XTCloudservers wird dann wieder zurück über das NAS nach außen geleitet und am Schluss wird vom NAS das Lets-Encrypt-Zertifikat drauf gepackt.

Zurück

Kommentare

Einen Kommentar schreiben

Was ist die Summe aus 5 und 8?