SSL-Unterstützung für GroupWise
Aus Datenhausmeister
Die Kommunikation zwischen den GroupWise-Agenten, Clients, WebAccess und den Webkonsolen erfolgt i.d.R. nach einer proprietären Verschlüsselungsmethode, einige Informationen werden aber auch unverschlüsselt übertragen, wie z.B. die der Webkonsolen. Zur Verbesserung der Sicherheit vor Angriffen empfiehlt sich die Nutzung der SSL-Unterstützung.
Inhaltsverzeichnis |
Vorbereitung
Um eigene Zertifikate ohne Kosten zu erzeugen, nutzen wir die PKI-Infrastruktur von Novell. Diese sollte allerdings mit SDIDiag und PKIDiag vor der Nutzung geprüft werden. Beide Diagnoseprogramme sollten fehlerfrei arbeiten:
Zertifikat erzeugen
Certificate Signing Request
G:\grpwise\software\admin\utility\gwcsrgen\gwcsrgen.exe
Nach "Create" befinden sich im Ordner f:\system\gwcert die persönliche Schlüsseldatei webcon.key und die zugehörende CSR-Datei, mit welcher die öffentliche Schlüsseldatei generiert werden kann. Dies kann mit bei einer öffentlichen Zertifizierungsstelle (Cretificate Authority - CA) wie Verisign, Deutsche Telekom AG u.a., beim eigenen Novell Certificate Server oder mit OpenSSL geschehen.
Novell Certificate Server
- ConsoleOne starten
- Tree auswählen
- Tools, Issue Certificate...
- Filename: F:\SYSTEM\gwcert\webcon.csr, Next
- Organizational certificate authority, Next
- How to be used:
- Validity period: > 1 Year
- Save to F:\SYSTEM\gwcert\webcon.b64 im Base64 format
Sicherung der Webkonsole
- MTA-Eigenschaften
- SSL-Einstellungen
- Zertifikatsdatei: \\GW7T5\SYS\SYSTEM\gwcert\webcon.b64
- SSL-Schlüsseldate: \\GW7T5\SYS\SYSTEM\gwcert\webcon.key
- Passwort festlegen
- Agenteneinstellungen
- HTTP-Benutzername: webacc
- Passwort festlegen
- Netzwerkadresse
- HTTP: SSL Aktiviert
- MTA entladen (F7) und neu starten mit GWMTA @gwdom.mta
- Test Zugriff mit Browser auf http://192.168.10.75:7180, wird umgeleitet auf https
- POA-Eigenschaften
- Agenteneinstellungen
- HTTP-Benutzername: webacc
- Passwort festlegen
- Netzwerkadresse
- HTTP: SSL Aktiviert
- SSL-Einstellungen
- Zertifikatsdatei: \\GW7T5\SYS\SYSTEM\gwcert\webcon.b64
- SSL-Schlüsseldate: \\GW7T5\SYS\SYSTEM\gwcert\webcon.key
- Passwort festlegen
- POA startet automatisch neu, an Serverkonsole auf evt. Fehlermeldungen rüfen
- Test Zugriff auf http://192.168.10.175:7181, http://192.168.10.176:7183 und http://192.168.10.179:7184
- GWIA-Eigenschaften, Register GroupWise
- Netzwerkadresse
- HTTP: SSL Aktiviert
- Optionale Gateway-Einstellungen
- HTTP-Benutzername: webacc
- Passwort festlegen
- SSL-Einstellungen
- Zertifikatsdatei: \\GW7T5\SYS\SYSTEM\gwcert\webcon.b64
- SSL-Schlüsseldate: \\GW7T5\SYS\SYSTEM\gwcert\webcon.key
- Passwort festlegen
- Test Zugriff auf http://192.168.10.177:9850
- WebAccess-Agent-Eigenschaften, Register GroupWise
- Netzwerkadresse
- HTTP: SSL Aktiviert
- Optionale Gateway-Einstellungen
- HTTP-Benutzername: webacc
- Passwort festlegen
- SSL-Einstellungen
- Zertifikatsdatei: \\GW7T5\SYS\SYSTEM\gwcert\webcon.b64
- SSL-Schlüsseldate: \\GW7T5\SYS\SYSTEM\gwcert\webcon.key
- Passwort festlegen
- WebAccess-Agent entladen (F7) und neu starten mit STRTWEB.NCF
- Test Zugriff auf http://192.168.10.178:7211
Literatur
- "Dealing with GroupWise security" by Uwe Carsten Krause, Open Horizons Magazin, Spring 2008, p. 34
