Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 12 Next »

Content Encryption konfigurieren und Keystore einrichten

 technische Erklärung zur Verschlüsselung

  1. Derzeit sind 2 Encryption-Algorithmen verfügbar, CBC ist nicht empfohlen und wird entfernt:
    - AES/CBC/PKCS5PADDING
    - AES/GCM/NoPadding

    Die Unterschiede des Verfahrens sind in Wikipedia gut beschrieben, aber zur Verdeutlichung kann man sich die beiden Verfahren mal in der praktischen Anwendung auf das KGS-Logo ansehen:

    AES/CBC

    AES/GCM

Konfiguration des Encryption Service:

am Beispiel für das Repository CE (empfohlen wird GCM):

CE.encryptionservice.type=aes_cbc
CE.encryptionservice.aes_cbc.secret=alongsecretwithmorethan16bytes

oder:

CE.encryptionservice.type=aes_gcm
CE.encryptionservice.aes_gcm.secret=x1

Das Secret sollte auf jeden Fall ein Alias sein, welches auf ein Kennwort im KeystoreService verweist (siehe 3).
Derzeit ist das Ändern des Secrets nicht möglich, kann aber auf Bedarf implementiert werden.

Bei der Encryption wird initial ein Zufalls-Vektor erzeugt, der gewährleistet, dass gleicher Content unterschiedlich encrypted wird. Dieser Vektor wird dem encrypteten
Datenstrom vorangestellt, da er zum Decrypten wieder benötigt wird. Die Größe der Ursprungsdatei erhöht sich je nach Verfahren um bis zu 32 Byte, d.h. auf der Storage
zeigt sich eine andere Content-Length.

Einrichten des Keystores

Für das Speichern der Secrets sollte in Autodigit der Keystore-Service eingerichtet sein (im Beispiel für das Repository CE):

CE.keystoreservice.type = pkcs12
CE.keystoreservice.pkcs12.name = ce-ks.p12
CE.keystoreservice.pkcs12.path = C:/autodigit/config/CE

Das Anlegen des Keystores kann durch unterschiedliche Methoden erfolgen:

- mit der Autodigit- Sap-HTTP Schnittstelle (ContentServer) wird dieser automatisch erzeugt (für die Ablage der Zertifikate)
- mit der Autodigit- CMIS Schnittstelle kann dieser über über CMIS-Weboberfläche angelegt werden
- für die Autodigit- OSGi Schnittstelle muss der Keystore über ein separates Tool (autodigit-create-keystore.jar) angelegt werden:

→ java -jar autodigit-create-keystore.jar <keystorename> <keystorepassword>

→ keytool -importpass -storetype pkcs12 -alias <aliasName> -keystore <Keystorename> -storepass <keystorepassword>

Achtung: Das verwendete Java in CoreOfTia darf nicht älter sein, als das Java mit dem der Keystore erstellt wurde.

→ keytool -v -list -keystore <keystorename>

Zeigt alle Alias im keystore an.

Der Alias kann dann statt des Secrets in der Konfiguration eingetragen werden.

Die benötigte Jar-Datei findet sich unterhalb als Anhang.


 

Verwandte Artikel

Filter by label

There are no items with the selected labels at this time.

  • No labels