SSL Verschlüsselung

Bei einer Webapplikation werden Daten vom Webbrowser zum Server und umgekehrt übertragen. Um diese Datenübertragung zu verschlüsseln, kann SSL (Secure Sockets Layer) verwendet werden. Die Verschlüsslungstiefe liefert dabei das verwendete Zertifikat mit.

Beachten Sie, dass für die verschlüsselte Übertragung ein Zertifikat für den Webserver erforderlich ist. Dieses ist zusätzlich auf dem Client-Rechner erforderlich, wenn die Druckaufträge verschlüsselt von einem Arbeitsplatzrechner zum Server übertragen werden sollen, siehe Verschlüsselt drucken.

Durch das steigende Sicherheitsbedürfnis bei der Datenübertragung wird auch das Verwenden von Zertifikaten und Einrichtung von Verschlüsselungsmethoden zunehmend komplexer. Die Einrichtung sollte daher in enger Zusammenarbeit mit ihrem Ansprechpartner für Verschlüsselung vorgenommen werden.

Zur Benutzung der SSL-Verschlüsselung müssen Sie ein Zertifikat zur Verfügung stellen. Sie können eine solches Zertifikat von der Zertifizierungsstelle (z.B. VersiSign) erwerben (in unterschiedlichen Sicherheitsstufen erhältlich). Sie erhalten dann

  • eine .crt- bzw. .pem-Datei (Zertifikat) und
  • eine .key-Datei (Schlüssel).

Zertifikate können auch selber erstellt werden. Diese sind dann frei von Lizenzgebühren. Webbrowser könnten diese jedoch ggf. als nicht vertrauenswürdig einstufen, da sie nicht von einer Stammzertifizierungsstelle ausgestellt wurden und Sicherheitswarnungen beim Aufruf der IQ4docs Weboberfläche anzeigen.

Es muss ein Zertifikat ohne Perfect Forward Secrecy (PFS) verwendet werden (das Zertifikat muss von JAVA ME 1.4 unterstützt werden). Ältere Gerätemodelle kommen u.U. nicht mit allen Verschlüsselungstiefen zurecht. Erwerben Sie am besten ein Zertifikat von einer offiziellen Zertifizierungsstelle.

Das Verschlüsselungsverfahren (Protokoll, z.B. TLS) für die Übertragung zwischen IQ4docs Komponenten kann im Systembereich eingestellt werden, siehe Sicherheit.

Die Kommunikation der IQ4docs Komponenten (vom IIS ausgeführte Microservices und RabbitMQ) sowie der Aufruf der Weboberfläche im Browser kann verschlüsselt werden (Aufruf mit https://), siehe SSL-Übertragung zwischen IQ4docs Komponenten und zum Browser.

Die Verschlüsselung der Übertragung von und zu E-MailServer kann verschlüsselt erfolgen. Für das Versenden von E-Mails wird diese unter E-Mail: SMTP oder Exchange einrichten eingestellt. Für den Empfang da, wo die Einstellungen zum Abfragen eines Postfachs vorgenommen werden, z.B. für E-MailPrint unter Druckeingänge (RAW, LPR, IPP, E-Mail, Ordner).

Der Protokolltyp wird automatisch ausgehandelt. Sollte es dabei zu Problemen kommen, kann der Protokolltyp in der LocalService.config des NotificationService fest eingestellt werden. Mit dem nachstehenden Eintrag wird der Protokolltyp auf TLS 1.2 eingestellt:

<add key="TlsVersion" value="Tls12" />

Protokolltyp Beschreibung
SystemDefault Ermöglicht dem Betriebssystem, das am besten geeignete Protokoll auszuwählen und unsichere Protokolle zu blockieren. Sofern in Ihrer Anwendung kein bestimmter Grund besteht, dies nicht zu tun, sollten Sie diesen Wert verwenden. Diese Einstellung ist die Standardeinstellung, so als wäre der Eintrag <add key="TlsVersion"... gar nicht vorhanden.
Ssl3 Gibt das SSL (Secure Socket Layer) 3.0-Sicherheitsprotokoll an. SSL 3.0 wurde durch das TLS-Protokoll (Transport Layer Security) ersetzt und wird nur zur Abwärtskompatibilität bereitgestellt.
Tls Gibt das TLS (Transport Layer Security) 1.0-Sicherheitsprotokoll an. Das TLS 1.0-Protokoll wird in IETF RFC 2246 definiert.
Tls11 Gibt das TLS (Transport Layer Security) 1.1-Sicherheitsprotokoll an. Das TLS 1.1-Protokoll wird in IETF RFC 4346 definiert. Bei Windows-Systemen wird dieser Wert ab Windows 7 unterstützt.
Tls12 Gibt das TLS (Transport Layer Security) 1.2-Sicherheitsprotokoll an. Das TLS 1.2-Protokoll wird in IETF RFC 5246 definiert. Bei Windows-Systemen wird dieser Wert ab Windows 7 unterstützt.

Druckaufträge können verschlüsselt übertragen und auch verschlüsselt zwischengespeichert werden, siehe Verschlüsselt drucken.

Für die Einrichtung des Flottenmanagements wird die URL zum Flottenmanagement angegeben. Diese muss mit HTTPS angesprochen werden, wenn die Services von IQ4docs verschlüsselt kommunizieren, siehe auch Flottenmanagement.

Wenn IQ4docs für verschlüsselte Übertragung eingerichtet ist, muss auch die Kommunikation mit SimpleClicks verschlüsselt sein (siehe SSL Verschlüsselung). Geben Sie dann die URL zum Flottenmanagement mit HTTPS an und hinterlegen in SimpleClicks das SSL-Zertifikat, siehe Flottenmanagement.

Das für IQ4docs verwendetet Zertifikat kann dafür mit dem IIS Manager exportiert werden. Für SimpleClicks ist dabei der Name und das Passwort des Zertifikates sehr wichtig.

  • Kicken Sie im IIS Manager auf den Servernamen und öffnen Sie den Bereich Serverzertifikate.

  • Wählen Sie das Zertifikat aus und wählen Sie Exportieren...

  • Im sich öffnenden Dialog geben Sie den Zertifikatsnamen über ... an. Der Dateiname muss dem Namen des Zertifikats entsprechen, z.B. server03.domain.de.pfx.

  • Geben Sie bei Passwort simpleclicks ein (jedes andere Passwort funktioniert nicht) und exportieren Sie das Zertifikat mit OK.

Spielen Sie das exportierte Zertifikat in SimpleClicks ein.

  • Melden Sie sich an der Weboberfläche von SimpleClicks an und öffnen Sie die Systemeinstellungen. Wählen sie die Registerkarte Agent Einstellungen.

  • Klicken Sie im Abschnitt Agent Zertifikate auf Neues Zertifikat generieren. Es wird ein neues Zertifikat generiert - dieses möchten wir aber nicht verwenden.

  • Klicken Sie auf Upload PKSS12 Zertifikat. Wählen Sie das exportierte Zertifikat aus und geben Sie das Passwort simpleclicks an (das neue Zertifikat wird ersetzt).

  • Aktivieren Sie anschließend im Abschnitt Agent Network das Kontrollkästchen HTTPS aktiviert und speichern die Änderungen mit dem Häkchen ganz oben.