HTTPS wird wie folgt im GeoShop aktiviert / gestartet:
SSL_PORTin\user\options\appserver.optunterAppServersetzen:AppServer MAP ... SSL_PORT STRING 443 }GeoShop neu starten. Am Schluss von
appserver.logsollte die Meldung:SSLServer started on port 443.erscheinen.Jetzt kann man bereits auf den GeoShop via HTTPS zugreifen (z.B.
https://localhost/client5/index.htmlim Webbrowser aufrufen). Es ist auch möglich mit beliebigen GeoShop Client-Tools (z.B. Administrator oder Ordermanager) auf den GeoShop zu zugreifen. Dazu muss man beim Login im FeldServerdie URLhttps://localhosteingeben.
![[Anmerkung]](images/note.png) | |
Vor der GeoShop Version 2022.0 wurde der Zertifikatspeicher
im Format JKS (Java Key Store) im Verzeichnis
|
| |
SSL-Zertifikate einer offiziellen CA werden normalerweise im
PKCS12 Format ( |
| |
Alte Zertifikatspeicher im JKS Format werden beim GeoShop Start automatisch nach PKCS12 übersetzt. Passwörter und Zertifikat-Alias werden dabei auf Default Werte gesetzt. |
Vollständige Liste aller im Abschnitt
AppServer unterstützen SSL-Optionen:
SSL_PORT (r)Port auf dem der SSL-Server gestartet werden soll, normalerweise
443(Standard Port von HTTPS). Die Angabe dieser Option ist obligatorisch, sonst wird der SSL-Server vom GeoShop nicht gestartet.SSL_PROTOCOLVerwendetes SSL-Protokoll (Default:
TLSv1.2).SSL_STORE (o)Name des
.pfxZertifikatspeicher in dem das Zertifikat bzw. der Private Key gespeichert ist (Default:ssl.pfx).SSL_STORE_PASSWORD (o)Password für den Zertifikatspeicher.
SSL_ALIAS (o)Alias unter dem das Zertifikat im SSL-Zertifikatspeicher abgelegt ist (Default:
geoshop). Muss nur angegeben werden, wenn mehr als ein Zertifikat im SSL-Zertifikatspeicher abgelegt ist. Wenn das angegebene Zertifikat im Zertifikatspeicher nicht existiert, wählt der GeoShop das erste Zertifikat im Zertifikatspeicher.SSL_KEY_PASSWORD (o)Passwort für den Private Key im Zertifikatspeicher (Default:
SSL_STORE_PASSWORD).
Der GeoShop verwendet standardmässig ein selbst signiertes
und für die Domäne localhost ausgestelltes
Serverzertifikat für die Verschlüsselung der Daten. Der
Zertifikatspeicher ist unter
\user\certs\ssl.pfx abgelegt. Wenn man ein
Serverzertifikat installieren will, hat man folgende
Möglichkeiten:
Man generiert ein selbst signiertes Serverzertifikat für seine Domäne. Diese Methode hat den Vorteil, dass sie schnell durchgeführt werden kann und keine wiederkehrenden Kosten nach sich zieht. Die Benutzer erhalten jedoch im Browser eine Fehlermeldung, welche vom Benutzer übersprungen werden muss (s.a. Abschnitt Clientzertifikat). Diese Methode eignet sich daher vorallem für Testumgebungen und nicht produktive Webseiten. Das selbst erstellte Zertifikat ist (praktisch) unbeschränkt gültig.
Man bestellt ein Zertifikat für die gewünschte Domäne bei einer offiziellen Zertifizierungsstelle (CA). Darauf installiert man das offizielle Serverzertifikat im GeoShop. Sofern das Zertifikat von einer geläufigen CA (z.B. Verisign, Thawte, TC Trustcenter, etc.) erstellt wurde, erhalten Benutzer im Browser keine Fehlermeldung mehr. Allerdings muss man für die Erstellung und Verwendung des Serverzertifikat eine wiederkehrende Gebühr entrichten.
Der Name der Domäne wird im GeoShop unter
AppServer.HOSTangegeben (z.B.www.infogrips.ch).![[Warnung]](images/warning.png)
Von einer CA signierte Serverzertifikate sind nur noch ein Jahr gültig und müssen rechtzeitig erneuert werden um Fehlermeldungen im Browser der Benutzer zu vermeiden.
Weil es für beide Methoden Anwendungsfälle gibt, sind im nachfolgenden beide Methoden beschrieben.
Erstellen oder ergänzen Sie den Abschnitt
MetaInfo in appserver.opt
wie folgt:
MetaInfo MAP Provider STRING <organization> Unit STRING <organizational-unit> Street STRING <street> ZIP STRING <zip> City STRING <city> State STRING <state> Country STRING <country> }
Nachfolgend ein vollständig ausgefülltes Beispiel:
MetaInfo MAP Provider STRING 'infogGrips GmbH' Unit STRING 'Development' Street STRING 'Technoparkstrasse 1' ZIP STRING '8005' City STRING 'Zuerich' State STRING 'ZH' Country STRING 'CH' }
| |
Falls man bereits für eine ältere Version des GeoShop
einen Zertifikatspeicher im JKS Format erstellt hat, muss man
nicht unbedingt den Abschnitt |
Nun kann ein selbst signiertes Serverzertifikat wie folgt erstellt werden:
Löschen Sie die Datei
\user\certs\ssl.pfx, falls diese existiert.Starten Sie den GeoShop neu.
Der GeoShop erzeugt nun für die Domäne
AppServer.HOSTaus den Angaben im AbschnittMetaInfoautomatisch den Zertifikatspeicher\user\certs\ssl.pfxund lädt das darin enthaltene Serverzertifikat.
Das Serverzertifikat muss zuerst bei einer offiziellen CA im
PKCS12 Format bestellt werden. Die CA liefert dann das von ihr
signierte Serverzertifikat als .pfx Datei
(manchmal ist die Dateiendung auch .p12),
welche man wie folgt im GeoShop installiert:
Kopieren Sie die
.pfxDatei nach\user\certs\ssl.pfx.Passen Sie die notwendigen
SSL_Parameter im AbschnittAppServeran, z.B.AppServer MAP ... SSL_PORT STRING 443 SSL_STORE_PASSWORD STRING <store-password> SSL_KEY_PASSWORD STRING <key-password>
Die Passwörter
<store-password>bzw.<key-password>werden von der CA geliefert.<key-password>muss nur angegeben werden, wenn der Private Key von der CA durch ein zusätzliches Passwort gesichert wurde (ist selten der Fall).Starten Sie den GeoShop neu.
Dieser Abschnitt gilt nur für "selbst signierte Serverzertifikate" (s.a. oben).
Für die Administratorwerkzeuge müssen keine Clientzertifikate installiert werden.
Falls man mit einem aktuellen Internet Browser (Edge, Chrome, Firefox oder Safari) via HTTPS auf den GeoShop zugreifen will, gibt es eine Fehlermeldung betreffend fehlender Sicherheit des Serverzertifikats, welche man überspringen muss.