RSS

Schlagwort-Archive: SSL

Kurzmitteilung
27 Okt
Fritz!Box 6360: Tipp Fernwartung/HTTPs/NAS

Ich habe mir kürzlich eine Fritz!Box 6360 zugelegt, für meinen Kabelanschluss. Ich hatte vor längerer Zeit schon einmal eine Fritz!Box und war davon begeistert, deshalb habe ich für meinen Internet-Anschluß über Kabel das ausgelieferte Kabel-Modem samt Router ersetzt.

Nach dem Einrichten hatte ich Probleme mit den Diensten MyFritz und Fernwartung. Der Grund war, dass ich den SSL-Port 443 über die Portfreigabe auf einen internen Server weitergeleitet hatte. Nachdem ich diese Weiterleitung deaktiviert hatte, ging alles. Das Problem lag also mal wieder zwischen den Ohren 😉

Um mit einem FTP Client extern auf das NAS-Laufwerk zuzugreifen, eignet sich beispielsweise der Client FileZilla. Hier muss man allerdings beachten, dass der Client „AUTH TLS“ senden muss. Der FileZilla kann das, entweder durch die Session-Einstellung „Explizites FTP über TLS erfordern“, oder durch Voranstellen von „FTPES://“ als Protokoll.

Zitat:

FTPS (SSL/TLS) is served up in two incompatible modes. If using explicit FTPS, the client connects to the normal FTP port and explicitly switches into secure (SSL/TLS) mode with „AUTH TLS“, whereas implicit FTPS is an older style service that assumes SSL/TLS mode right from the start of the connection (and normally listens on TCP port 990, rather than 21). In a FileZilla client this means prefixing the host with „FTPES://“ to connect an „explicit“ FTPS server, or „FTPS://“ for the legacy „implicit“ server (for which you will likely also need to set the port to 990).“ (aus: http://wiki.filezilla-project.org/SSL/TLS)

 

Links:

FileZilla Wiki – SSL/TLS

Recently I bought a Fritz!Box 6360 cable modem. After the initial configuration I recognized problems regarding the the remote access and MyFritz service. The reason was that I forwarded the SSL port 443 to an internal server in my private network. After I disabled the port forwading, the services worked fine.

If you want to use the NAS share provided with the Fritz!Box, you have to have a suitable client, like Filezilla. Since the Fritz!Box uses the protocol ‚explicit fto over TLS‘ you have to configure this, in order to connect from external networks. As a shortcut you can use the prefix ‚FTPES://‘. 

quote:

FTPS (SSL/TLS) is served up in two incompatible modes. If using explicit FTPS, the client connects to the normal FTP port and explicitly switches into secure (SSL/TLS) mode with „AUTH TLS“, whereas implicit FTPS is an older style service that assumes SSL/TLS mode right from the start of the connection (and normally listens on TCP port 990, rather than 21). In a FileZilla client this means prefixing the host with „FTPES://“ to connect an „explicit“ FTPS server, or „FTPS://“ for the legacy „implicit“ server (for which you will likely also need to set the port to 990).“ (from: http://wiki.filezilla-project.org/SSL/TLS)

 

Links:

FileZilla Wiki – SSL/TLS

!

Fritz!Box 6360: Tipp Fernwartung/HTTPs/NAS

 
Hinterlasse einen Kommentar

Verfasst von - Oktober 27, 2012 in Erfahrungsbericht, IT

 

Schlagwörter: , , , , , , , , , ,

SAP ABAP: SSL/SAP Cryptolib einrichten

30 Mär
SAP ABAP: SSL/SAP Cryptolib einrichten

Die SAP Cryptolib wird u.a. benötigt, um SSL Verbindungen auf dem ABAP Stack zu verwenden. Sie können die aktuelle Version vom Service Marketplace herunterladen. Vorher sollten Sie überprüfen, ob und welche Version auf Ihrem System installiert ist. Sie können auf einem ABAP Stack durch Eingabe der Transaktion STRUST > Environment > Display SSF Version überprüfen, ob die SAPCRYPTOLIB installiert ist und in welcher Version. Alternativ können Sie auf der Kommandozeile den Befehl sapgenpse ausführen.

Um den SAP ABAP Stack für die Verwendung von SSL zu konfigurieren, ist folgende Vorgehensweise empfehlenswert:

http://help.sap.com/saphelp_em70/helpdata/de/48/f6c6da490ad44987572237dd3ce0e2/content.htm

http://help.sap.com/saphelp_em70/helpdata/de/65/6a563cef658a06e10000000a11405a/frameset.htm

 

  1. Installation der SAP Cryptolib auf Ihrem Betriebssystem, Download vom Service Marketplace
  2. Konfiguration der Profilparameter mit der Transaktion RZ11.
  3. SSL Server PSE anlegen in der Transaktion STRUST
  4. Zertifikatsanforderung für SSL Server PSE
  5. Zertifikatsanforderung signieren lassen von CA
  6. Importieren der Antworten in die SSL Server PSE
  7. Pflegen der Zertifikatsliste der SSL Server PSE
  8. Durchstarten des ICM
    Um den ICM-Monitor durchzustarten, wählen Sie in der Transaktion SMICM > Administration > ICM > Restart > Yes
    Sie können über die Drucktaste Auffrischenüberprüfen, ob der ICM-Monitor wieder hochgefahren ist.Das System zeigt im Trust-Manager die inaktiven PSE-Ordner SSL-Server und SSL-Client (Standard) im linken Bildschirmbereich an. Inaktive Ordner sind mit einem roten Kreuz gekennzeichnet.
  9. Anlegen Client PSE

Installation der SAP Cryptolib überprüfen

1.      Führen Sie den Report SSF02 aus (SA38 > SSF02 > Ausführen > Ausführen)

2.      Setzen Sie das Kennzeichen Version ermitteln.

3.      Wählen Sie Ausführen.

Das System zeigt Ihnen die aktuelle Version der SAP Cryptolib.

 
Hinterlasse einen Kommentar

Verfasst von - März 30, 2012 in SAP

 

Schlagwörter: , , ,

SAP: Export Private Key aus SSL PSE

19 Dez
SAP: Export Private Key aus SSL PSE

Voraussetzung:
SAPCRYPTOLIB 5.5.5 patch level 16 oder höher.

Sie können auf einem ABAP Stack durch Eingabe der Transaktion STRUST > Environment > Display SSF Version überprüfen, ob die SAPCRYPTOLIB installiert ist und in welcher Version. Alternativ können Sie auf der Kommandozeile den Befehl sapgenpse ausführen.

Exportieren des PSE Files in ein PKCS#12 File:
sapgenpse export_p12 –p <YOUR_PSE> <P12_FILE>

Beispiel:
sapgenpse export_p12 -p sapssl.pse test.p12

Mit dem freien OpenSSL kann man nun den private und public key extrahieren:
openssl pkcs12 -in <P12_FILE> -out <OUTPUT.txt> -nodes

Beispiel:
openssl pkcs -in test.p12 -out output.txt -nodes

Die Keys kann man sich nun im erstellten txt File anschauen.

Entnommen aus SCN: How to export the Private Key from a SSL PSE?

 
Hinterlasse einen Kommentar

Verfasst von - Dezember 19, 2011 in Security

 

Schlagwörter: , ,

SAP Netweaver SSL/HTTPS

26 Apr

Einleitung

Das Secure Sockets Layer (SSL) Protokoll dient zum Sichern von Verbindungen auf der Transportschicht (Transport Layer Security, TLS). Das Protokoll TLS ist die Nachfolgebezeichnung des Protokolls SSL (Wikipedia: Seit Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS weiterentwickelt und standardisiert, wobei Version 1.0 von TLS der Version 3.1 von SSL entspricht)

(Abbildung entnommen aus Wikipedia)

Die Verwendung der Transport Layer Security (TLS) bietet folgenden Schutz:

  • Authentifizierung
    Die Kommunikationspartner (Server, Client oder beide) können authentifiziert werden.
  • Integrität und Vertraulichkeit der Daten
    Die zwischen dem Client und dem Server übertragenen Daten sind verschlüsselt, wodurch der Schutz der Integrität und Vertraulichkeit geboten wird. Ein Abhörer kann auf die Daten nicht zugreifen oder sie manipulieren.

SAP betreibt den Applikationsserver Netweaver in drei Variationen:

  • AS ABAP
  • AS Java
  • Double Stack (AS ABAP + AS JAVA)

Schlüssel und Zertifikate werden für den AS ABAP und den AS Java an unterschiedlichen Orten abgelegt:

  • Auf dem AS ABAP wird bei Verwendung der SAP Cryptographic Library für SSL oder SNC jedes Schlüsselpaar in einer Datei, einer Persönlichen Sicherheitsumgebung (Personal Security Environment, PSE) abgelegt. Um die PSEs zu pflegen, verwenden Sie den Trust-Manager (Transaktion STRUST).
  • Für SSL auf dem AS Java werden die Schlüsselpaare in Keystore-Einträgen in Keystore-Sichten abgelegt. Um die Schlüssel zu pflegen, verwenden Sie den Keystore-Service.

Folgende Informationen umfaßt die PSE bzw. Keystore-Sicht:

  • Public-Key-Schlüsselpaar des Servers
    das für die verschiedenen Sicherheitsfunktionen (Signieren, Signaturen verifizieren, Nachrichten ver- und entschlüsseln) zu verwenden ist
  • Zertifikatsliste
    die Liste der vertrauenswürdigen Kommunikationspartner

Je nachdem, ob der AS ABAP bzw. AS JAVA als Client oder Server einer SSL-Verbindung arbeitet, sind unterschiedliche PSEn/Keystore-Sichten zu verwenden:

  • SSL-Server-PSE/service_ssl Keystore:
    Der SAP Applikationsserver arbeitet als Server einer SSL Verbindung
  • SSL-Client-PSE/neuer Eintrag im Keystore:
    Der SAP Applikationsserver arbeitet als Client einer SSL Verbindung

Bevor Sie SSL auf einem SAP Netweaver Applikationsserver verwenden können, müssen Sie diesen zunächst dafür konfigurieren (siehe: AS ABAP für SSL-Unterstützung konfigurieren bzw. Transport Layer Security on the AS Java).

Schlüsselpaare erzeugen

Als Verschlüsselungstechnik wird die Public-Key-Technologie verwendet (siehe auch: Vertrauensbeziehung aufbauen). In diesem Fall wird jeder Komponente ein Schlüsselpaar ausgestellt, das aus privatem und öffentlichem Schlüssel besteht. Der private Schlüssel wird sicher auf dem Server abgelegt und der öffentliche Schlüssel wird in Form eines Public-Key-Zertifikats an die Kommunikationspartner verteilt. Die Vertrauensbeziehung wird durch Überprüfen des öffentlichen Schlüssels des Kommunikationspartners, der mit dem Public-Key-Zertifikat geliefert wird, eingerichtet.

Für die serverseitige Authentifizierung wird also für den Server eine Schlüsselpaar erzeugt, der Server erhält den privaten Schlüssel und der Client den öffentlichen Schlüssel. Bei clientseitiger Authentifizierung erhält der Client den privaten Schlüssel und der Server den öffentlichen Schlüssel.

Ein Zertifikat kann man selbst erstellen (selbstsignierte Zertifikate) oder von einer vertrauenwürdigen CA (z.B. Verisign etc.) ausstellen lassen. Der Vorteil von selbst signierten Zertifikaten gegenüber gekauften ist ganz einfach, sie kosten NICHTS!

Es besteht die Möglichkeit eine freie Lösung, wie z.B. OpenSSL zu verwenden (siehe: Howto selbstsigniertes SSL Zertifikat erstellen) oder mit SAP Hilfsmitteln zu arbeiten (siehe: PSE für den Server mit SAPGENPSE anlegen).

Für die Verwendung von SAP Hilfsmitteln ist es wichtig, daß folgende Voraussetzungen erfüllt sind:

  • Die SAP Cryptographic Library ist auf dem Server installiert.
  • Die Umgebungsvariable SECUDIR wurde auf den Ablageort der PSE gesetzt.

Um selbstsignierte Zertifikate unter Verwendung von SAP Hilfsmitteln zu erzeugen, gehen Sie wie folgt vor. Generieren Sie mit dem Befehl get_pse die PSE des Servers, die das Public-Key-Schlüsselpaar und ein Publik-Key-Zertifikat enthält. Wenn Sie eine vertrauenswürdige CA verwenden, können Sie auch den Befehl get_pse verwenden, um eine Zertifikatsanforderung zu generieren. Standardmäßig wird alles erzeugt, allerdings können Sie mit den Optionen -noreq oder -onlyreq die Zertifikatsanforderung explizit auslassen (= selbstsignierte Zertifikate) oder erzeugen. Der Befehl sapgenpse ist unter Linux im Verzeichnis /sapmnt/<SYSID>/exe/ zu finden.

Beispiel: PSE und selbstsigniertes Zertifikat für den Anwendungsserver erzeugen

Mit der folgenden Befehlszeile erzeugen Sie eine PSE für den Anwendungsserver (<SID>= ABC), die ein selbstsigniertes Zertifikat enthält. Eine Zertifikatsanforderung ist nicht erforderlich. Die PSE befindet sich in D:usrsapABCDVEBMGS28secABC.pse. Die PIN, die die PSE schützt, lautet abcpin. Der Distinguished Name des Servers lautet CN=ABC, OU=Test, O=MyCompany, C=DE.

sapgenpse get_pse -p D:usrsapABCDVEBMGS28secABC.pse
-noreq -x abcpin "CN=ABC, OU=Test, O=MyCompany, C=DE"

Hinweis: Setzen der Umgebungsvariablen ist eventuell notwendig:

export LD_LIBRARY_PATH=/sapmnt/NWA/exe
export SECUDIR=/usr/sap/NWA/DVEBMGS00/sec

Die Syntax zum Befehl sapgenpse ist unter PSE für den Server mit SAPGENPSE anlegen zu finden.


 
Ein Kommentar

Verfasst von - April 26, 2011 in Applikationsserver

 

Schlagwörter: , , , , ,

 
Erstelle eine Website wie diese mit WordPress.com
Jetzt starten