Document toolboxDocument toolbox

Datenschutz

SSL-TLS-Verschlüsselung

Der Datentransfer über das Internet zu profacto kann grundsätzlich schon lange verschlüsselt erfolgen, das  jedoch war nur mit Admin-KnowHow und manuellen Eingriffen möglich. 

Es ist möglich den in profacto integrierten Webserver mit TLS durch automatisch erstellte Zertifikate verschlüsseln zu lassen. Dieses Funktioniert im momment nur bei der Server Version und nicht mit dem Einzelplatz.

Welche Voraussetzungen muß ich erfüllen?

Im Grunde brauchen Sie nur 3 Dinge:

  • Erreichbarkeit des Servers über das Internet (öffentliche Adresse) - Zusätzlich muß profacto dann neben Port 8080 über Port 80 (Standardport für das Internet) und Port 443 (Standardport für verschlüsseltes Internet) zugänglich sein. Let's Encrypt authentifiziert Ihre Domain mit einem HTTP-Aufruf. Dieser Aufruf erfolgt standardisiert auf Port 80. Der Webserver von profacto wird aber über Port 8080 angesprochen. Damit die Authentifizierung gelingt müssen von Ihrem IT-Dienstleister eine Port-Weiterleitung für Aufrufe auf Port 80 auf Port 8080 einrichten lassen.
  • Eine Domain (zB meinefirma.de oder firma.dyndns.org) über die Ihr Server im Internet erreichbar ist. Die IP allein reicht leider nicht aus.
  • Eine E-Mail-Adresse (für ein Let's Encrypt-Konto), diese muß nicht zur Domain gehören. 

Sprechen Sie bitte mit Ihrem IT-Ansprechpartner, um Ihre IT-Infrastruktur (Router, Firewall, Netzwerk) und den Internetzugriff entsprechend einzurichten. 

Keine Einrichtung durch die extragroup GmbH

Mitarbeiter der extragroup GmbH können und dürfen diese Einrichtungsaufgaben nicht für Sie übernehmen. Sprechen Sie mit Ihrem Administrator oder externen Systemhaus.

Wir nutzen für die Erstellung automatisch generierter TLS-Zertifikate den Dienst von letsencrypt.org. Damit Let's Encrypt ein Zertifikat erstellen kann erfolgt ein Authentifizierungsprozess mit dem sichergestellt wird, daß Sie auch Zugriff auf das System haben, für dessen Domain oder Internetadresse sie ein Zertifikat erstellen lassen möchten. Aus diesem Grund muß Ihr profacto (Einzelplatz) über das Internet erreichbar sein.

Erstellen des Let's Encrypt-Zertifikats

Die Konto-Erstellung erfolgt automatisch. Man braucht weder Kennwort, noch muß man eine email beantworten.

Wie erstelle ich ein Zertifikat?

Sie können in den Voreinstellungen → Datenschutz alle notwendigen Daten (Domain, Email-Adresse) eingeben und von dort aus auch ein Zertifikat anfordern oder erneuern lassen.

Dieses Zertifikat ist dann einsehbar und wird auch umgehend installiert. Gegebenenfalls muß man profacto einmal neu starten. 

Grundlegend müssen Sie:

  • die öffentliche Server-Adresse angeben
  • Zertifizierungs Kontakt E-Mail-Adresse angeben

Mit diesen Daten ist es schon möglich ein Zertifikat erstellen zu lassen:

Zertifikat anfordern/erneuern

Diese Schaltfläche ist nur aktiv wenn eine öffentliche Server-Adresse sowie ein Zertifizierungs-Kontakt angegeben wurde. Ist das der Fall fordern Sie für die entsprechende öffentliche Server-Adresse (domain) ein Zertifikat an das im Anschluß auch installiert wird. Nach der Installation wird der Webserver bzw. der Server gestoppt und mit aktivierter TLS-Verschlüsselung neu gestartet.

Sobald alles fertig ist kommt folgender Dialog:

Man darf hier problemlos auch Abbrechen und profacto einfach neu starten.

Zertifikat

anzeigen

Bei einem Klick auf Öffnen wird das Zertifikat-Verzeichnis geöffnet. Nach erfolgreicher Anforderung und Installation finden Sie an dieser Stelle die Dateien:

  • cert.pem
  • key.pem

löschen

Hiermit können Sie das Zertifikat (cert.pem) sowie den zugehörigen Schlüssel (key.pem) löschen. Das Zertifikat samt Schlüssel wird in dem Datenbank-Verzeichnis im Unterordner 'letsencrypt' gelagert.

  • Windows: "(Datenbank Verzeichnis)\letsencrypt\org.letsencrypt.api.acme-v02\orders\(Order Nummer)\"
  • macOS:     "(Datenbank Verzeichnis)/letsencrypt/org.letsencrypt.api.acme-v02/orders/(Order Nummer)/"

evaluieren

Ein Klick hier testet, ob noch alles okay ist und Ihr Server per HTTPS erreicht werden kann. Es folgt eine entsprechende Benachrichtigung.

Woran erkenne ich ob es funktioniert hat?

Sobald sie ein Zertifikat angefordert, installiert und den Webserver neu gestartet (das geschieht alles in einem Prozess beim Klicken der Schaltfläche 'Zertifikat anfordern/erneuern') können Sie durch den Aufruf des integrierten Webservers prüfen ob TLS aktiv und funktionstüchtig ist.

In obig genanntem Beispiel rufen Sie in ihrem Webbrowser die URL auf. wichtig dabei: es beginnt https und es wird kein Port angegeben.

Hat alles funktioniert sehen Sie in der Adressleiste ein kleines Schloß-Symbol. Wenn Sie darauf klicken können Sie sich Details dem zu Grunde liegenden Zertifikat anschauen.


In profacto selbst wird der Schutzschild mit den Pfeilen von grau-in-grau auf rot-blau-weiß gestellt.

Das sieht man auch in den Systeminformationen auf Anhieb.

Was passiert wenn mein Zertifikat ausläuft?

Von Haus aus werden die Zertifikate mit einer Gültigkeit von 1 Jahr erstellt. Sollte Ihr Zertifikat auslaufen und nicht mehr länger gültig sein als 30 Tage, können Sie über die Schaltfläche 'Zertifikat anfordern/erneuern' Ihr Zertifikat aktualisieren lassen.

Besonderheiten

Let's Encrypt authentifiziert Ihre Domain mit einem HTTP-Aufruf. Dieser Aufruf erfolgt standardisiert auf Port 80. Der Webserver von profacto wird aber über Port 8080 angesprochen. Damit die Authentifizierung gelingt müssen von Ihrem IT-Dienstleister eine Port-Weiterleitung für Aufrufe auf Port 80 auf Port 8080 einrichten lassen.