TOTVSTEC

Árvore de páginas

Versões comparadas

Versão antiga 9

changes.mady.by.user Carlos Sampa Junior

Gravado em

comparado com

Nova versão 10

changes.mady.by.user Rinaldo Catroque Bersi

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

A seção permite habilitar o 

Inclusão de trecho
Application Server
Application Server
nopaneltrue
para criptografar e autenticar as informações que são transmitidas pela internet, assim como outras operações de assinatura e certificação.

Ao configurar esta seção, as informações enviadas ou recebidas através desta conexão de conexões socket são criptografadas/descriptografadas pelo servidor pelos pares conectados conforme as chaves e certificados especiais, que garantem que somente o servidor e o browser do usuário autorizado as partes autorizadas tenham acesso a comunicação.

Informações
titleImportante
  • Inclusão de trecho
    teces:Application Server
    teces:Application Server
    nopaneltrue
    utiliza certificados de seguranças no formato APACHE (.pem)
  • Esta configuração é obrigatória para que o 
    Inclusão de trecho
    teces:Application Server
    teces:Application Server
    nopaneltrue
    esteja habilitado a aceitar conexões remotas (seguras) e utilizar o protocolo de internet HTTPS - HyperText Transfer Protocol Secure.

 

Qualquer pacote TCP rastreado trafegado entre o servidor e o client cliente estará criptografado, ou seja, não será possível o entendimento do pacote fora das partes. Além da codificação de dados, o SSL (Secure Sockets Layer) também efetua a autenticação da fonte de dados através da utilização do certificado e chave privada.

O certificado de segurança, emitido pelo provedor externo conhecido como Autoridade de Certificação (CA), tem o por objetivo de confirmar ao browser do usuário cliente (o par que inicia o processo de comunicação) que o Website é realmente administrado. Com isso, os possíveis ataques de hackers são evitados.

As chaves de configuração aqui apresentadas são utilizadas tanto na atuação do 

Inclusão de trecho
Application Server
Application Server
nopaneltrue
 como servidor de informação quanto a funções que atuam com cliente de acesso a informações, por exemplo, HTTPSGet e HTTPSPost.

A seguir, veja a documentação das chaves de configuração: 


ChaveDescrição
SSL2Indica a utilização da comunicação com base no protocolo SSLv2.
SSL3Indica a utilização da comunicação com base no protocolo SSLv3.
TLS1Indica a utilização da comunicação com base no protocolo TLS1.
TLS1_0Habilita a utilização do protocolo TLS1.
BUGSIndica a utilização de bug workaround do OpenSSL.STATEIndica a utilização de informações dos objetos SSL - Secure Sockets Layer.
0 na comunicação.
TLS1_1Habilita a utilização do protocolo TLS1.1 na comunicação.
TLS1_2Habilita a utilização do protocolo TLS1.2 na comunicação.
DisableCipherConjunto de cifras que devem ser desabilitadas nas conexões SSL. A string deve especificar as cifras separadas pelo caractere ":".
VerboseSinaliza o registro das mensagens de Debug em todas as operações ligadas ao uso de HSM (Hardware Security Module) e SSL (Secure Sockets Layer).
BugsSinaliza a utilização de "bug workaround" do OpenSSL.
StateSinaliza o registro das mensagens de alteração de estados internos do handshaking SSL.
CacheSize

Define o tamanho do cache interno

,

da sessão de contexto SSL

- Secure Sockets Layer, para o tamanho especificado.PassPhraseIndica a senha de acesso a chave privada ou certificado.CertificateServerIndica o certificado que será utilizado quando o servidor HTTP utilizar SSL - Secure Sockets Layer.SecondCertificateServerIndica um segundo certificado para ser utilizado quando o servidor HTTP utilizar SSL - Secure Sockets Layer.CertificateClientIndica o certificado client que será utilizado, quando for realizada a comunicação com algum site https:// ou na comunicação com outro servidor.

.

CertificateServerPath do arquivo do certificado digital do servidor para conexões SSL. O arquivo deve estar no formato PEM (modelo Apache).
KeyServerPath do arquivo com a chave privada correspondente ao certificado digital do servidor. O arquivo deve estar no formato PEM (modelo Apache).
PassPhraseSenha utilizada para a abertura da chave privada indicada por KeyServer. Caso a chave privada informada não necessite de senha uma string vazia deve ser informada.
SecondCertificateServerPath de um segundo arquivo de certificado digital do servidor para conexões SSL. O arquivo deve estar no formato PEM (modelo Apache).
SecondKeyServerPath do arquivo com a chave privada correspondente ao segundo certificado digital do servidor. O arquivo deve estar no formato PEM (modelo Apache).
CertificateClientPath do arquivo de um certificado digital utilizado quando a aplicação assume o papel client, ou seja, inicia uma conexão ou consome um serviço de um
SecondCertificateClientIndica um segundo certificado client para ser utilizado quando for realizada a comunicação com algum
site https:// ou
com
outro servidor.
KeyServer
KeyClientPath do arquivo com
Indica
a chave privada que será utilizada pela aplicação quando
o servidor HTTP utilizar SSL - Secure Sockets Layer
assume o papel client.
SecondKeyServerIndica uma segunda chave privada que será utilizada quando o servidor HTTP utilizar SecondKeyServer SSL - Secure Sockets Layer.
SecondCertificateClientPath do arquivo de um segundo certificado digital utilizado quando a aplicação assume o papel client, ou seja, inicia uma conexão ou consome um serviço de um
KeyClientIndica a chave privada que será utilizada pelo client quando for realizada a comunicação com algum
site https:// ou outro servidor.
SecondKeyClient
Indica uma segunda chave privada para ser utilizada pelo client quando for realizada a comunicação com algum site https:// ou com outro servidor
Path do arquivo com a chave privada que correspondente ao segundo certificado digital utilizado pela aplicação quando assume o papel cliente.
HSM
Indica
Sinaliza a comunicação e a operação de criptografia com o uso de HSM
-
(Hardware Security Module
.VerboseIndica a utilização de mensagens de Debug em todas as operações ligadas ao uso de HSM - Hardware Security Module e SSL - Secure Sockets Layer
).
Module
Indica
Sinaliza o módulo Criptoki que será utilizado para acessar o HSM
-
(Hardware Security Module
.disableCipherDesabilita cifras das conexões SSL
).
TryProtocols(deprecated) Habilita a reconexão SSL utilizando outra versão de protocolo em caso de
falhada
falha da conexão.

Exemplo

Sem Formato
[SSLConfigure]
SSL2=1
SSL3=1
TLS1=2
BUGS=0
STATE=0
CacheSize=32
PassPhrase=password
CertificateServer=      = 0
SSL3      = 0
TLS1_0    = 0
TLS1_1    = 1
TLS1_2    = 1
Verbose   = 0
Bugs      = 0
State     = 0
CacheSize = 32

CertificateServer   = C:\cert\server-cert-server.pem
SecondCertificateServer=KeyServer           = C:\cert\caserver-serverkey.pem
CertificateClient=C:\cert\cert-client.pem
SecondCertificateClient=PassPhrase          = password
CertificateClient   = C:\cert\ca-client.pem
KeyServer=C:\cert\priv-key1.pem
SecondKeyServer=C:\cert\priv-key2.pem
KeyClient           = C:\cert\client-key1key.pem
SecondKeyClient=C:\cert\client-key2.pem
Module = C:\Program Files\hsm\cryptoki.dll
HSM    =1
Verbose=1 1

Notas

Aviso
titleVersões Contínuas de SSL/TLS

A habilitação de versões do protocolo SSL/TLS deve sempre compreender um range de grau de segurança contínuo, ou seja, não deve haver saltos na habilitação de versões. Por exemplo, se necessito realizar conexão a um servidor que aceite somente a versão SSL3 do protocolo e também conexão a outro servidor que necessite no mínimo a versão TLS1.1 do protocolo, devo configurar todas versões disponíveis entre a SSL3 e TLS1.2, como abaixo:

[SSLConfigure]
SSL2 = 0
SSL3 = 1
TLS1_0 = 1  ← tenho que habilitá-lo
TLS1_1 = 1
TLS1_2 = 1

  • A chave TLS1 está mantida em modo de compatibilidade. Isso significa que a atualização da aplicação irá funcionar adequadamente, porém, esta chave deve ser substituída pelas novas versões TLS1_0TLS1_1 e TLS1_2. Caso quaisquer das novas chaves do protocolo TLS sejam encontradas no arquivo de configuração, a aplicação não reconhecerá as informações contidas na TLS1.

  • A chave TryProtocols não tem mais funcionalidade na aplicação. A chave deixou de indicar explicitamente a necessidade de retentativas de conexões utilizando as versões SSL/TLS habilitadas na configuração da aplicação, esse comportamento foi internalizado.

  • Esta implementação não envolve a classe WSDLManager, que contém implementação própria do protocolo, restringe-se ao uso do AppServer como servidor de conexão (WEBEX, HTTTPS) e as funções de acesso HTTPSGet, HTTPSPost.