Sobre SSL e os Componentes do Build Forge

Os componentes do Build Forge são configurados por padrão para usar determinadas portas e configurações de segurança quando o SSL é ativado.

Configuração SSL Padrão

A ativação do SSL é relativamente simples quando você usa os certificados padrão. Os procedimentos desta seção se baseiam nesse cenário.

Entretanto, não é sensato em geral usar o mesmo certificado (chave privada) em cada sistema. Se a chave privada em um sistema for comprometida, toda a infraestrutura poderá ser comprometida. As chances de comprometimento podem ser reduzidas com a imposição da segurança física.

Um sistema mais seguro usa um certificado para cada processo. No Build Forge, isso significa fazer o seguinte:

  • Crie um certificado para cada agente.
  • Crie um certificado para cada mecanismo. Isso é aplicável quando a redundância é configurada. Consulte o Configurando Redundância.
Essa configuração requer gerenciamento de certificado adicional. Suas opções são:

As seções a seguir identificam as interfaces no sistema Build Forge em que a segurança SSL é imposta.

Interfaces do Cliente

Os usuários acessam o sistema Build Forge usando as interfaces do cliente.

Web Client para o Build Forge
Os Web clients acessam o Build Forge usando seu servidor Apache da Web. Quando o SSL está ativado e um navegador da Web ativado para segurança é usado, as seguintes interfaces são usadas.
  • Porta 443 do servidor Apache da Web
    Clientes da Web acessam o Build Forge por meio de sua URL. Quando o SSL está ativado, a URL é a seguinte:
    https://host/
    O host é aquele em que o Build Forge é executado. Se você configurar uma porta diferente de 443 para acesso seguro ao Apache, os usuários deverão também especificar a porta:
    https://host:port/

    Os Web clients são redirecionados para um servlet de autenticação sendo executado no servidor Apache Tomcat.

  • Porta 8443 do servidor de aplicativo Apache Tomcat

    Um servlet de autenticação aceita as credenciais de login e autentica o usuário. O servlet criptografa as credenciais para que elas nunca apareçam em texto não criptografado durante a conexão.

A configuração para a porta listener usada pelo servlet Apache Tomcat é gerenciada por meio de um arquivo de configuração. Ele está localizado em <bfinstall>/Apache/tomcat/conf/server.xml. Localize a seguinte configuração de conector.
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509" 
    maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
    enableLookups="false" disableUploadTimeout="true"
    acceptCount="100" scheme="https" secure="true"
    clientAuth="false" sslProtocol="SSL_TLS" 
    keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
    keystorePass="password" 
    keystoreType="PKCS12" 
    truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12" 
    truststorePass="password" 
    truststoreType="PKCS12"/>
API Program Client para o Build Forge
  • Porta 49150 do servidor de aplicativo Apache Tomcat

    Os clientes de API acessam o Build Forge por meio de seu componente de camada de serviços, um aplicativo em execução no servidor de aplicativo Apache Tomcat. Os clientes de API precisam ter um arquivo bfclient.conf válido.

    O componente da camada de serviços usa uma configuração SSL para comunicações de entrada. Ela é definida no console do Build Forge em Administração > Segurança > SSL. O padrão usado é SSL de Entrada JSSE Padrão.

Interfaces Internas

O Build Forge é formado por um componente de interface da Web (servidor Apache da Web e PHP), um componente da camada de serviços e um componente do agente. Os componentes de interface da Web e mecanismo são clientes do componente da camada de serviços. Clientes de programa de API também são clientes do componente da camada de serviços.

Entrada da Camada de Serviços

Porta 49150 do servidor de aplicativo Apache Tomcat

O componente da camada de serviços usa uma configuração SSL para comunicações de entrada. Ela é definida no console do Build Forge em Administração > Segurança > SSL. O padrão usado é SSL de Entrada JSSE Padrão.

Saída do Cliente da Camada de Serviços

Porta 49150 do servidor de aplicativo Apache Tomcat

O componente de interface da Web (por meio de PHP) e o componente de mecanismo usam uma configuração SSL dedicada para comunicações de saída com o componente de camada de serviços. Ela é definida no console do Build Forge em Administração > Segurança > SSL. O padrão usado é SSL de Saída JSSE Padrão.

As propriedades SSL para a configuração de saída do cliente e de entrada da camada de serviços precisam ser compatíveis para que um handshake SSL seja bem-sucedido. Administração > Segurança > SSL, as propriedades Tipo e Protocolo de Handshake devem corresponder.

Cada configuração SSL tem uma configuração de keystore de referência:

As configurações são especificadas por nome. Você as define em Administração > Segurança > SSL. Diversos padrões são fornecidos.

Interfaces Externas

Interfaces externas são aquelas usadas pelo Build Forge para comunicar-se com sistemas externos.
  • O mecanismo do Build Forge se comunica com os agentes.
  • O componente de camada de serviços do Build Forge se comunica com o banco de dados.
Mecanismo do Build Forge para comunicações do agente
A ativação do SSL para essa interface requer o seguinte:
  • Configuração do agente. Ela exige uma mudança no arquivo de configuração do agente e a colocação de certificados no host do agente.
  • Ativação das comunicações SSL para cada recurso do servidor que usa o agente. Faça isso no console, no painel Servidores.

Consulte o Ativando o SSL para Comunicações do Agente.

Componente da camada de serviços do Build Forge para comunicações do banco de dados
A configuração SSL para essa interface é definida no driver de dispositivo para seu banco de dados.

Feedback