TOTVSTEC

Árvore de páginas

Versões comparadas

Versão antiga 9

changes.mady.by.user Carlos Sampa Junior

Gravado em

comparado com

Nova versão Atual

changes.mady.by.user Eduardo Sinkiko Yonamine Costa

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.

A seção permite habilitar o 

Inclusão de trecho
Application Server
Application Server
nopaneltrue
para criptografar e autenticar as informações que são transmitidas pela internet, assim como outras operações de assinatura e certificação.

Ao configurar esta seção, as informações enviadas ou recebidas através

desta conexão

de conexões socket são criptografadas/descriptografadas

pelo servidor

pelos pares conectados conforme as chaves e certificados especiais, que garantem que somente

o servidor e o browser do usuário autorizado

as partes autorizadas tenham acesso a comunicação.

Informações
titleImportante
  • Inclusão de trecho
teces:
  • Application Server
teces:
  • Application Server
    nopaneltrue
    utiliza certificados de seguranças no formato APACHE (.pem)
  • Esta configuração é obrigatória para que o 
    Inclusão de trecho
teces:
  • Application Server
teces:
  • Application Server
    nopaneltrue
    esteja habilitado a aceitar conexões remotas (seguras) e utilizar o protocolo de internet HTTPS - HyperText Transfer Protocol Secure.

 

Qualquer pacote TCP

rastreado

trafegado entre o servidor e o

client

cliente estará criptografado, ou seja, não será possível o entendimento do pacote fora das partes. Além da codificação de dados, o SSL (Secure Sockets Layer) também efetua a autenticação da fonte de dados através da utilização do certificado e chave privada.

O certificado de segurança, emitido pelo provedor externo conhecido como Autoridade de Certificação (CA), tem

o

por objetivo

de

confirmar ao

browser do usuário

cliente (o par que inicia o processo de comunicação) que o Website é realmente administrado. Com isso, os possíveis ataques de hackers são evitados.

A seguir, veja a documentação das

As chaves de configuração

:

 

ChaveDescriçãoSSL2Indica a utilização da comunicação com base no protocolo SSLv2.SSL3Indica a utilização da comunicação com base no protocolo SSLv3.TLS1Indica a utilização da comunicação com base no protocolo TLS1.BUGSIndica a utilização de bug workaround do OpenSSL.STATEIndica a utilização de informações dos objetos SSL - Secure Sockets Layer.CacheSize

Define o tamanho do cache interno, da sessão de contexto SSL - Secure Sockets Layer, para o tamanho especificado.

PassPhraseIndica a senha de acesso a chave privada ou certificado.CertificateServerIndica o certificado que será utilizado quando o servidor HTTP utilizar SSL - Secure Sockets Layer.SecondCertificateServerIndica um segundo certificado para ser utilizado quando o servidor HTTP utilizar SSL - Secure Sockets Layer.CertificateClientIndica o certificado client que será utilizado, quando for realizada a comunicação com algum site https:// ou na comunicação com outro servidor.SecondCertificateClientIndica um segundo certificado client para ser utilizado quando for realizada a comunicação com algum site https:// ou com outro servidor.KeyServerIndica a chave privada que será utilizada quando o servidor HTTP utilizar SSL - Secure Sockets Layer.SecondKeyServerIndica uma segunda chave privada que será utilizada quando o servidor HTTP utilizar SecondKeyServer SSL - Secure Sockets Layer.KeyClientIndica a chave privada que será utilizada pelo client quando for realizada a comunicação com algum site https:// ou outro servidor.SecondKeyClientIndica uma segunda chave privada para ser utilizada pelo client quando for realizada a comunicação com algum site https:// ou com outro servidor.HSMIndica a comunicação e a operação de criptografia com o uso de HSM - Hardware Security Module.VerboseIndica a utilização de mensagens de Debug em todas as operações ligadas ao uso de HSM - Hardware Security Module e SSL - Secure Sockets Layer.ModuleIndica o módulo Criptoki que será utilizado para acessar o HSM - Hardware Security Module.disableCipherDesabilita cifras das conexões SSL.

aqui apresentadas são utilizadas tanto na atuação do 

Inclusão de trecho
Application Server
Application Server
nopaneltrue
como servidor de informação quanto a funções que atuam com cliente de acesso a informações, por exemplo, HTTPSGet e HTTPSPost.

Dica
titleDica

Há um estudo publicado no TDN que demonstra irregularidades encontradas na configuração SSL/TLS em versões anteriores a 13.1.3.26 e 13.2.3.26 e orienta o uso de boas práticas no procedimento de configuração: Conexões SSL/TLS.

Painel

Nessa seção

Exibir filhos

TryProtocolsHabilita a reconexão SSL utilizando outra versão de protocolo em caso de falhada conexão.

Exemplo

Sem Formato
[SSLConfigure]
SSL2=1
SSL3=1
TLS1=2
BUGS=0
STATE=0
CacheSize=32
PassPhrase=password
CertificateServer=      = 0
SSL3      = 0
TLS1_0    = 0
TLS1_1    = 1
TLS1_2    = 1
Verbose   = 0
Bugs      = 0
State     = 0
CacheSize = 32

CertificateServer   = C:\cert\server-cert-server.pem
SecondCertificateServer=KeyServer           = C:\cert\caserver-serverkey.pem
CertificateClient=C:\cert\cert-client.pem
SecondCertificateClient=PassPhrase          = password
CertificateClient   = C:\cert\ca-client.pem
KeyServer=C:\cert\priv-key1.pem
SecondKeyServer=C:\cert\priv-key2.pem
KeyClient           = C:\cert\client-key1key.pem
SecondKeyClient=C:\cert\client-key2.pem
Module = C:\Program Files\hsm\cryptoki.dll
HSM=1
Verbose=1    = 0

Notas

Aviso
titleVersões Contínuas de SSL/TLS

A habilitação de versões do protocolo SSL/TLS deve sempre compreender um range de grau de segurança contínuo, ou seja, não deve haver saltos na habilitação de versões. Por exemplo, se necessito realizar conexão a um servidor que aceite somente a versão SSL3 do protocolo e também conexão a outro servidor que necessite no mínimo a versão TLS1.1 do protocolo, devo configurar todas versões disponíveis entre a SSL3 e TLS1.2, como abaixo:

[SSLConfigure]
SSL2 = 0
SSL3 = 1
TLS1_0 = 1  ← tenho que habilitá-lo
TLS1_1 = 1
TLS1_2 = 1

  • A chave TLS1 está mantida em modo de compatibilidade. Isso significa que a atualização da aplicação irá funcionar adequadamente, porém, esta chave deve ser substituída pelas novas versões TLS1_0TLS1_1 e TLS1_2. Caso quaisquer das novas chaves do protocolo TLS sejam encontradas no arquivo de configuração, a aplicação não reconhecerá as informações contidas na TLS1.

  • A chave TryProtocols não tem mais funcionalidade na aplicação. A chave deixou de indicar explicitamente a necessidade de retentativas de conexões utilizando as versões SSL/TLS habilitadas na configuração da aplicação, esse comportamento foi internalizado.

  • Esta implementação não envolve a classe WSDLManager, que contém implementação própria do protocolo, restringe-se ao uso do AppServer como servidor de conexão (WEBEX, HTTTPS) e as funções de acesso HTTPSGet, HTTPSPost.