Die Build Forge-Komponenten werden standardmäßig so eingerichtet, dass bei aktiviertem SSL bestimmte Ports und Sicherheitseinstellungen verwendet werden.
SSL ist relativ einfach zu aktivieren, wenn die Standardzertifikate verwendet werden. Den in diesem Abschnitt beschriebenen Verfahren liegt dieses Szenario zugrunde.
Allerdings ist es im Allgemeinen nicht empfehlenswert, auf allen Systemen dasselbe Zertifikat (denselben privaten Schlüssel) zu verwenden. Wenn der private Schlüssel auf einem System beeinträchtigt wird, kann die Integrität der gesamten Infrastruktur beeinträchtigt werden. Das Risiko einer Beeinträchtigung der Integrität kann durch das Erzwingen physischer Sicherheit gesenkt werden.
Auf einem System mit höherer Sicherheit wird für jeden Prozess ein Zertifikat verwendet. In Build Forge ergibt sich daraus folgende Vorgehensweise:
In den folgenden Abschnitten sind die Schnittstellen im Build Forge-System angegeben, an denen SSL-Sicherheit erzwungen wird.
Benutzer greifen über Clientschnittstellen auf das Build Forge-System zu.
https://host/
host ist der Host, auf dem Build Forge ausgeführt wird. Wenn Sie einen anderen Port als 443 für den sicheren Zugriff auf Apache konfigurieren, müssen die Benutzer auch den Port angeben:https://host:port/
Web-Clients werden an ein Authentifizierungsservlet umgeleitet, das auf dem Apache Tomcat-Server ausgeführt wird.
Ein Authentifizierungsservlet akzeptiert die Anmeldeberechtigungen und authentifiziert den Benutzer. Die Berechtigungsnachweise werden vom Servlet verschlüsselt, sodass sie auf keinen Fall in Klartext übertragen werden.
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="false" sslProtocol="SSL_TLS"
keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
keystorePass="password"
keystoreType="PKCS12"
truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12"
truststorePass="password"
truststoreType="PKCS12"/>
API-Clients greifen über die Komponente Services Layer, eine auf dem Apache Tomcat-Anwendungsserver aktive Anwendung, auf Build Forge zu. Für API-Clients ist eine gültige bfclient.conf-Datei erforderlich.
In der Komponente Services Layer wird für eingehende Kommunikation eine SSL-Konfiguration verwendet. Diese wird in der Build Forge-Konsole unter Eingehende SSL-Standard-JSSE.
definiert. Die Standardeinstellung lautetBuild Forge besteht aus den Komponenten Web Interface (Apache-Web-Server und PHP), Services Layer und Process Engine. Die Komponenten Web Interface und Process Engine sind Clients der Komponente Services Layer. API-Programmclients sind ebenfalls Clients der Komponente Services Layer.
Apache Tomcat-Anwendungsserver Port 49150
In der Komponente Services Layer wird für eingehende Kommunikation eine SSL-Konfiguration verwendet. Diese wird in der Build Forge-Konsole unter Eingehende SSL-Standard-JSSE.
definiert. Die Standardeinstellung lautetApache Tomcat-Anwendungsserver Port 49150
Sowohl die Komponente Web Interface (über PHP) und als auch die Komponente Process Engine verwenden eine SSL-Konfiguration, die ausschließlich abgehender Kommunikation mit der Komponente Services Layer vorbehalten ist. Diese wird in der Build Forge-Konsole unter definiert. Die Standardeinstellung lautet Ausgehende SSL-Standard-JSSE.Die SSL-Eigenschaften für die Ausgangskonfiguration des Clients und die Eingangskonfiguration von Services Layer müssen kompatibel sein, damit ein SSL-Handshake erfolgreich ausgeführt werden kann. Typ und Handshakeprotokoll müssen übereinstimmen.
: Die EigenschaftenJede SSL-Konfiguration verfügt über Verweise auf Keystorekonfigurationen:
Die Konfigurationen werden nach Namen angegeben. Sie können sie unter
definieren. Es stehen mehrere Standardwerte zur Verfügung.Siehe auch SSL für die Agentenkommunikation aktivieren.