Informationen zu SSL und Build Forge-Komponenten

Die Build Forge-Komponenten werden standardmäßig so eingerichtet, dass bei aktiviertem SSL bestimmte Ports und Sicherheitseinstellungen verwendet werden.

SSL-Standardkonfiguration

SSL ist relativ einfach zu aktivieren, wenn die Standardzertifikate verwendet werden. Den in diesem Abschnitt beschriebenen Verfahren liegt dieses Szenario zugrunde.

Allerdings ist es im Allgemeinen nicht empfehlenswert, auf allen Systemen dasselbe Zertifikat (denselben privaten Schlüssel) zu verwenden. Wenn der private Schlüssel auf einem System beeinträchtigt wird, kann die Integrität der gesamten Infrastruktur beeinträchtigt werden. Das Risiko einer Beeinträchtigung der Integrität kann durch das Erzwingen physischer Sicherheit gesenkt werden.

Auf einem System mit höherer Sicherheit wird für jeden Prozess ein Zertifikat verwendet. In Build Forge ergibt sich daraus folgende Vorgehensweise:

  • Erstellen Sie ein Zertifikat für jeden Agenten.
  • Erstellen Sie ein Zertifikat für jede Steuerkomponente. Dies gilt, wenn Redundanz eingerichtet ist. Siehe auch Redundanz konfigurieren.
Bei dieser Konfiguration ist ein zusätzliches Zertifikatsmanagement erforderlich. Sie haben folgende Möglichkeiten:

In den folgenden Abschnitten sind die Schnittstellen im Build Forge-System angegeben, an denen SSL-Sicherheit erzwungen wird.

Clientschnittstellen

Benutzer greifen über Clientschnittstellen auf das Build Forge-System zu.

Web-Client für Build Forge
Web-Clients greifen über den Apache-Web-Server auf Build Forge zu. Wenn SSL aktiviert ist und ein sicherheitsaktivierter Web-Browser genutzt wird, werden die folgenden Schnittstellen verwendet.
  • Apache-Web-Server Port 443
    Web-Clients greifen über die entsprechende URL auf Build Forge zu. Wenn SSL aktiviert ist, lautet die URL wie folgt:
    https://host/
    host ist der Host, auf dem Build Forge ausgeführt wird. Wenn Sie einen anderen Port als 443 für den sicheren Zugriff auf Apache konfigurieren, müssen die Benutzer auch den Port angeben:
    https://host:port/

    Web-Clients werden an ein Authentifizierungsservlet umgeleitet, das auf dem Apache Tomcat-Server ausgeführt wird.

  • Apache Tomcat-Anwendungsserver Port 8443

    Ein Authentifizierungsservlet akzeptiert die Anmeldeberechtigungen und authentifiziert den Benutzer. Die Berechtigungsnachweise werden vom Servlet verschlüsselt, sodass sie auf keinen Fall in Klartext übertragen werden.

Die Konfiguration für den vom Apache Tomcat-Servlet verwendeten Listener-Port wird mithilfe einer Konfigurationsdatei verwaltet. Diese befindet sich unter <bf-installationsverzeichnis>/Apache/tomcat/conf/server.xml. Suchen Sie die folgende Connectorkonfiguration.
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509"
    maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
    enableLookups="false" disableUploadTimeout="true"
    acceptCount="100" scheme="https" secure="true"
    clientAuth="false" sslProtocol="SSL_TLS"
    keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
    keystorePass="password"
    keystoreType="PKCS12"
    truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12"
    truststorePass="password"
    truststoreType="PKCS12"/>
API-Programmclient für Build Forge
  • Apache Tomcat-Anwendungsserver Port 49150

    API-Clients greifen über die Komponente Services Layer, eine auf dem Apache Tomcat-Anwendungsserver aktive Anwendung, auf Build Forge zu. Für API-Clients ist eine gültige bfclient.conf-Datei erforderlich.

    In der Komponente Services Layer wird für eingehende Kommunikation eine SSL-Konfiguration verwendet. Diese wird in der Build Forge-Konsole unter Verwaltung > Sicherheit > SSL definiert. Die Standardeinstellung lautet Eingehende SSL-Standard-JSSE.

Interne Schnittstellen

Build Forge besteht aus den Komponenten Web Interface (Apache-Web-Server und PHP), Services Layer und Process Engine. Die Komponenten Web Interface und Process Engine sind Clients der Komponente Services Layer. API-Programmclients sind ebenfalls Clients der Komponente Services Layer.

Services Layer eingehend

Apache Tomcat-Anwendungsserver Port 49150

In der Komponente Services Layer wird für eingehende Kommunikation eine SSL-Konfiguration verwendet. Diese wird in der Build Forge-Konsole unter Verwaltung > Sicherheit > SSL definiert. Die Standardeinstellung lautet Eingehende SSL-Standard-JSSE.

Services Layer-Client ausgehend

Apache Tomcat-Anwendungsserver Port 49150

Sowohl die Komponente Web Interface (über PHP) und als auch die Komponente Process Engine verwenden eine SSL-Konfiguration, die ausschließlich abgehender Kommunikation mit der Komponente Services Layer vorbehalten ist. Diese wird in der Build Forge-Konsole unter Verwaltung > Sicherheit > SSL definiert. Die Standardeinstellung lautet Ausgehende SSL-Standard-JSSE.

Die SSL-Eigenschaften für die Ausgangskonfiguration des Clients und die Eingangskonfiguration von Services Layer müssen kompatibel sein, damit ein SSL-Handshake erfolgreich ausgeführt werden kann. Verwaltung > Sicherheit > SSL: Die Eigenschaften Typ und Handshakeprotokoll müssen übereinstimmen.

Jede SSL-Konfiguration verfügt über Verweise auf Keystorekonfigurationen:

Die Konfigurationen werden nach Namen angegeben. Sie können sie unter Verwaltung > Sicherheit > SSL definieren. Es stehen mehrere Standardwerte zur Verfügung.

Externe Schnittstellen

Externe Schnittstellen werden von Build Forge für die Kommunikation mit externen Systemen verwendet.
  • Die Build Forge-Steuerkomponente kommuniziert mit Agenten.
  • Die Build Forge-Komponente Services Layer kommuniziert mit der Datenbank.
Kommunikation zwischen der Build Forge-Steuerkomponente und einem Agenten
Zum Aktivieren von SSL für diese Schnittstelle ist Folgendes erforderlich:
  • Konfiguration des Agenten. Es muss eine Änderung in der Agentenkonfigurationsdatei vorgenommen werden und es müssen Zertifikate auf dem Agentenhost abgelegt werden.
  • Die SSL-Kommunikation muss für jede Serverressource aktiviert werden, die den Agenten verwendet. Die Aktivierung erfolgt in der Konsole in der Anzeige Server.

Siehe auch SSL für die Agentenkommunikation aktivieren.

Kommunikation zwischen der Build Forge-Komponente Services Layer und der Datenbank
Die SSL-Konfiguration für diese Schnittstelle wird im Einheitentreiber für die Datenbank definiert.