3.1.2    SSL-Verbindungen mit DATA Boreum

SSL oder TLS?

Alle, auch wir, sprechen bei der Absicherung von Kommunikationsstrecken von SSL. Der Grund ist, dass sich SSL als Begriff für abgesicherte Kommunikation durchgesetzt hat, und nun ähnlich benutzt wird, wie ein Deonym (andere Deonyme sind beispielsweise Tempo, Tesa, Uhu, Labello, Inbus). Wenn also weiterhin von SSL die Rede ist, sind natürlich immer TLS 1.2 und TLS 1.3 gemeint. SSL und ältere Versionen von TLS sind längst veraltet, unsicher und werden nicht mehr eingesetzt.

DATA Boreum und Governikus Serversoftware

DATA Boreum kann die Signaturdienste und Zeitstempeldienste nutzen, die von der Governikus Serversoftware DATA Deneb (Produkt der Governikus Suite 5.x) und DATA Sign Fachintegration (eigenständige Fachanwendung) angeboten werden. Die Kommunikation von DATA Boreum und der Governikus Serversoftware ist über SSL abgesichert.

Wenn Sie eine Governikus Serversoftware in DATA Boreum konfiguriert haben, siehe Kapitel 5.4, sind die Verbindungen zwischen DATA Boreum, dem Authentisierungsserver und der Governikus Serversoftware über SSL abgesichert. Auf den Servern, auf denen der Authentisierungsdienst und die Governikus Serversoftware betrieben werden, müssen in den SSL-Keystores und Truststores SSL-Zertifikate hinterlegt sein, die von qualifizierten  Vertrauensdiensteanbietern (qVDA, englisch „certificate authorities”) stammen, wie beispielsweise D-Trust oder TeleSec. Sollten Sie SSL-Zertifikate aus einer eigenen PKI oder andere selbstsignierte SSL-Zertifikate nutzen, kann keine SSL-Verbindung aufgebaut werden, da es keine Möglichkeit in DATA Boreum gibt, diese SSL-Zertifikate zu hinterlegen. Es gibt allerdings die Möglichkeit, ein SSL-Zertifikat in dem Java zu hinterlegen, dass für die Ausführung von DATA Boreum genutzt wird.

Workaround SSL-Zertifikate

Sollten Sie die SSL-Strecken mit eigenen SSL-Zertifikaten gesichert haben, können Sie diese im Truststore der Java-Laufzeitumgebung (JDK) hinterlegen. Dies ist der Ort, an dem DATA Boreum nach vertrauenswürdigen SSL-Zertifikaten sucht.

·     JDK-Truststore: Den Truststore eines JDKs finden Sie üblicherweise in diesem Pfad:

·     <JDK-Installationsverzeichnis>/lib/security

·     Truststore-Name: Der Truststore heißt üblicherweise cacerts (ohne weitere Dateiendung).

·     Truststore-Passwort: Das Passwort für die Datei cacerts ist üblicherweise changeit

·     SSL-Zertifikate hinzufügen: Um die SSL-Zertifikate des Authentisierungsdienstes und einer Governikus Serversoftware als „Vertrauenswürdige Zertifikate“ dem Truststore cacerts hinzufügen zu können, benötigen Sie Administratorrechte.

·     Neustart: Starten Sie DATA Boreum danach neu.