TOTVSTEC

Árvore de páginas

Versões comparadas

Versão antiga 4

changes.mady.by.user Eduardo Sinkiko Yonamine Costa

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Eduardo Sinkiko Yonamine Costa

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

...

Seção [SSLConfigure]

A

...

seção

...

permite

...

 

Abrangência
ERP 10 e 11

...

habilitar o 

Inclusão de trecho
Application Server
Application Server
nopaneltrue
para criptografar e autenticar as informações que são transmitidas pela internet, assim como outras operações de assinatura e certificação.

Ao configurar esta seção, as informações enviadas ou recebidas através

...

de conexões socket são criptografadas/descriptografadas

...

pelos pares conectados conforme as chaves e certificados especiais, que garantem que somente

...

as partes autorizadas tenham acesso a comunicação.

Informações
titleImportante

...

  • Inclusão de trecho
    Application Server
    Application Server
    nopaneltrue
    utiliza certificados de seguranças no formato APACHE (.pem)
  • Esta configuração é obrigatória para que

...

  • Inclusão de trecho
    Application Server
    Application Server
    nopaneltrue
    esteja habilitado

...

  • a aceitar conexões remotas (seguras) e utilizar o protocolo de internet HTTPS - HyperText Transfer Protocol Secure.

Qualquer pacote TCP

...

trafegado entre o servidor e o

...

cliente estará criptografado, ou seja, não será possível o entendimento do pacote fora das partes. Além da codificação de dados, o SSL

...

(Secure Sockets Layer

...

) também efetua a autenticação da fonte de dados através da utilização do certificado e chave privada.

O certificado de segurança, emitido pelo provedor externo conhecido como Autoridade de Certificação (CA), tem

...

por objetivo

...

confirmar ao

...

cliente (o par que inicia o processo de comunicação) que o Website é realmente administrado. Com isso, os possíveis ataques de hackers são evitados.

...

As chaves de configuração

...

ChaveDescrição
SSL2

Indica a utilização da comunicação com base no protocolo SSLv2.

SSL3Indica a utilização da comunicação com base no protocolo SSLv3.
TLS1Indica a utilização da comunicação com base no protocolo TLS1.
BUGSIndica a utilização de bug workaround do OpenSSL.
STATEIndica a utilização de informações dos objetos SSL - Secure Sockets Layer.
CacheSize

Define o tamanho do cache interno, da sessão de contexto SSL - Secure Sockets Layer, para o tamanho especificado.

PassPhrase

Indica a senha de acesso a chave privada ou certificado.

CertificateServerIndica o certificado que será utilizado quando o servidor HTTP utilizar SSL - Secure Sockets Layer.
SecondCertificateServerIndica um segundo certificado para ser utilizado quando o servidor HTTP utilizar SSL - Secure Sockets Layer.
CertificateClientIndica o certificado client que será utilizado, quando for realizada a comunicação com algum site https:// ou na comunicação com outro servidor.
SecondCertificateClient

Indica um segundo certificado client para ser utilizado quando for realizada a comunicação com algum site https:// ou com outro servidor.

KeyServerIndica a chave privada que será utilizada quando o servidor HTTP utilizar SSL - Secure Sockets Layer.
SecondKeyServerIndica uma segunda chave privada que será utilizada quando o servidor HTTP utilizar SecondKeyServer SSL - Secure Sockets Layer.
KeyClientIndica a chave privada que será utilizada pelo client quando for realizada a comunicação com algum site https:// ou outro servidor.
SecondKeyClientIndica uma segunda chave privada para ser utilizada pelo client quando for realizada a comunicação com algum site https:// ou com outro servidor.
HSMIndica a comunicação e a operação de criptografia com o uso de HSM - Hardware Security Module.
VerboseIndica a utilização de mensagens de Debug em todas as operações ligadas ao uso de HSM - Hardware Security Module e SSL - Secure Sockets Layer.
ModuleIndica o módulo Criptoki que será utilizado para acessar o HSM - Hardware Security Module.

 

Exemplo

[SSLConfigure]
SSL2=1
SSL3=1
TLS1=2
BUGS=0
STATE=0
CacheSize=32
PassPhrase=password
CertificateServer=C:\cert\cert-server.pem
SecondCertificateServer=C:\cert\ca-server.pem
CertificateClient=C:\cert\cert-client.pem
SecondCertificateClient=C:\cert\ca-client.pem
KeyServer=C:\cert\priv-key1.pem
SecondKeyServer=C:\cert\priv-key1.pem
KeyClient=C:\cert\client-key1.pem
SecondKeyClient=C:\cert\client-key2.pem
HSM=1
Verbose=1
Module=C:\Program Files\hsm\cryptoki.dll

aqui apresentadas são utilizadas tanto na atuação do 

Inclusão de trecho
Application Server
Application Server
nopaneltrue
como servidor de informação quanto a funções que atuam com cliente de acesso a informações, por exemplo, HTTPSGet e HTTPSPost.

Dica
titleDica

Há um estudo publicado no TDN que demonstra irregularidades encontradas na configuração SSL/TLS em versões anteriores a 13.1.3.26 e 13.2.3.26 e orienta o uso de boas práticas no procedimento de configuração: Conexões SSL/TLS.

Painel

Nessa seção

Exibir filhos

Exemplo

Sem Formato
[SSLConfigure]
SSL2      = 0
SSL3      = 0
TLS1_0    = 0
TLS1_1    = 1
TLS1_2    = 1
Verbose   = 0
Bugs      = 0
State     = 0
CacheSize = 32

CertificateServer   = C:\cert\server-cert.pem
KeyServer           = C:\cert\server-key.pem
PassPhrase          = password
CertificateClient   = C:\cert\client-cert.pem
KeyClient           = C:\cert\client-key.pem

Module = C:\Program Files\hsm\cryptoki.dll
HSM    = 0

Notas

Aviso
titleVersões Contínuas de SSL/TLS

A habilitação de versões do protocolo SSL/TLS deve sempre compreender um range de grau de segurança contínuo, ou seja, não deve haver saltos na habilitação de versões. Por exemplo, se necessito realizar conexão a um servidor que aceite somente a versão SSL3 do protocolo e também conexão a outro servidor que necessite no mínimo a versão TLS1.1 do protocolo, devo configurar todas versões disponíveis entre a SSL3 e TLS1.2, como abaixo:

[SSLConfigure]
SSL2 = 0
SSL3 = 1
TLS1_0 = 1  ← tenho que habilitá-lo
TLS1_1 = 1
TLS1_2 = 1

  • A chave TLS1 está mantida em modo de compatibilidade. Isso significa que a atualização da aplicação irá funcionar adequadamente, porém, esta chave deve ser substituída pelas novas versões TLS1_0TLS1_1 e TLS1_2. Caso quaisquer das novas chaves do protocolo TLS sejam encontradas no arquivo de configuração, a aplicação não reconhecerá as informações contidas na TLS1.

  • A chave TryProtocols não tem mais funcionalidade na aplicação. A chave deixou de indicar explicitamente a necessidade de retentativas de conexões utilizando as versões SSL/TLS habilitadas na configuração da aplicação, esse comportamento foi internalizado.

  • Esta implementação não envolve a classe WSDLManager, que contém implementação própria do protocolo, restringe-se ao uso do AppServer como servidor de conexão (WEBEX, HTTTPS) e as funções de acesso HTTPSGet, HTTPSPost.

...