Zum Inhalt

Voraussetzungen für eine cyberElemente CleanroomCluster-Plattform

Maschine

Betriebsbedingungen

cyberelements Cleanroom läuft auf 64-Bit-Debian 12 (Bookworm) Maschinen.
Es wird empfohlen, Maschinen ohne grafische Schnittstelle zu verwenden und die installierten Komponenten auf den SSH-Server zu beschränken.

CPU

Eine CPU mit 4 Kernen deckt die meisten Anwendungsfälle für das Produkt ab.

RAM

Disk

Netzwerk

Eine cyberelements CleanroomCluster-Plattform erfordert:

  • 2 echte IP-Adressen pro Mediation Controller Server (über die gleiche Netzwerkoberfläche)
  • 3 virtuelle IP-Adressen für die Funktionsfähigkeit des Clusters
  • 1 IP-Adresse pro Edge Gateway oder HTML5-Gateway-Maschine

Zusätzliche Informationen

Die realen und virtuellen IP-Adressen der Mediation Controller Die Server müssen alle demselben Teilnetz angehören.

Inkompatibilität mit der Verwendung virtueller IPs

Virtuelle IPs werden mit dem IPVS (IP Virtual Server) für die Lastenausgleichsverwaltung eingesetzt.
Die Ladungsabgleichung erfordert mehrere Voraussetzungen für eine ordnungsgemäße Funktion:

  • Die Funktionen der Umkehrbahn-Weiterleitung (Reverse Path Forwarding, RPF) für die von diesen Maschinen mitgeführten Mediationssteuerungen und IPs deaktivieren.
  • Wird auf VMware für Mediation Controller-Server ein E1000E-Netzwerkadapter statt VMXNET3-Netzwerkadapter zugewiesen.

Mediation Controller-Server werden in der Regel in einer DMZ platziert, können aber auch in einer privaten DMZ platziert oder in einer öffentlichen Cloud gehostet werden. Dies hängt vom Anwendungsfall der Plattform ab (z. B. Fernzugriff für Dienstleister oder Sicherung des internen Zugriffs auf geschützte Bereiche).

Edge Gateway-Server sind in der Regel im LAN, in VLANs platziert, die es ihnen ermöglichen, mit Zielressourcen zu kommunizieren.

HTML5-Gateway-Server können entweder im LAN oder in der DMZ platziert werden. Diese Dokumentation sieht die Installation der HTML5-Gateway-Komponente auf Edge Gateway-Servern, d. h. im LAN, vor.

Um die verschiedenen Maschinenadressen besser zu identifizieren, werden sie in der Dokumentation wie folgt bezeichnet:

IP-Adressname Bedeutung
RIP_MED_WEB_MASTER Primäre IP-Adresse des MASTER Mediation Controller Servers, der den Zugriff auf die Web-Konsolen ermöglicht.
RIP_MED_WEB_SLAVE Primäre IP-Adresse des SLAVE Mediation Controller Servers, der den Zugriff auf die Web-Konsolen ermöglicht.
RIP_MED_SSL_MASTER Zweite IP-Adresse des MASTER Mediation Controller Servers, der von der SSL-Router-Komponente verwendet wird.
RIP_MED_SSL_SLAVE Zweite IP-Adresse des SLAVE Mediation Controller Servers, der von der SSL-Router-Komponente verwendet wird.
VIP_MED_WEB Virtuelle IP-Adresse des Mediation Controller Clusters, die den Zugriff auf Web-Konsolen ermöglicht.
VIP_MED_SSL Virtuelle IP-Adresse des Mediation Controller Clusters, die den Zugriff auf den SSL-Router ermöglicht.
VIP_MED_ZEO Virtuelle IP-Adresse des Mediation Controller Clusters, die den Zugriff auf eine interne Produktkonfigurationsdatenbank ermöglicht.
IP_GW IP-Adresse des Edge Gateway Servers.
IP_HTML5_GW IP-Adresse des HTML5-Gateway-Servers.

Info

Die vorgelegten Strominformationen gehen davon aus, dass die Mediation Controller Die Server befinden sich in der DMZ und die Edge Gateway Die Server, die auch als HTML5-Gateways fungieren, befinden sich im LAN.

Die IP-Adressen des Mediation Controller können entweder öffentliche IP-Adressen sein, die direkt dem Mediation Controller-Server zugewiesen werden, oder öffentliche IP-Adressen, die mit privaten IP-Adressen vernetzt sind (empfohlen).

Quelle Bestimmungsort Bestimmungshafen Anmerkungen
Arbeitsplatz des Benutzers VIP_MED_WEB TCP 443 (wenn der Standard-Port verwendet wird) Zugriff auf Web-Konsolen und Anwendungen, die direkt im Browser ausgeführt werden, ermöglichen.
Arbeitsplatz des Benutzers VIP_MED_SSL TCP 443 (wenn der Standard-Port verwendet wird) Ein TLS-Tunnel zur Verschlüsselung des Flusses durch die InternetElemente Cleanroom - Ich bin ein Kunde.
IP_GW VIP_MED_WEB TCP 443 (wenn der Standard-Port verwendet wird) Wenn sich der Edge Gateway in einem Fernnetz befindet. Verbindung zum Edge Gateway Pairing-System.
IP_GW VIP_MED_SSL TCP 443 (wenn der Standard-Port verwendet wird) Wenn sich der Edge Gateway in einem Remote-Netzwerk befindet. Verbinden Sie sich mit dem SSL-Router, um einen TLSv1.3-Tunnel zu erstellen und die Produktkommunikation durch diesen zu leiten.
Quelle Bestimmungsort Bestimmungshafen Anmerkungen
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Debian-Repositories TCP 80 Erforderlich für die Installation von ** Cyber** Elementen Cleanroom Abhängigkeiten und die Aufrechterhaltung des Systems auf dem neuesten Stand. Die Dokumentation und virtuelle Appliances verwenden ftp.fr.debian.org und security.debian.org.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 packages.microsoft.com TCP 443 Microsoft-Repository zum Installieren und Aktualisieren von MS SQL-Treibern. Nur erforderlich, wenn Zugriff auf eine MS SQL-Datenbank gewünscht wird (virtuelle Geräte haben MS SQL-Treibere).
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 NTP-Zeitserver UDP 123 Optional, wenn der Server seine Uhr mit einem Server in der DMZ synchronisieren muss. Standardmäßig werden die Debian-Pools verwendet: 0.debian.pool.ntp.org, 1.debian.pool.ntp.org, 2.debian.pool.ntp.org und 3.debian.pool.ntp.org.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 SMTP-Server TCP 25, 465, 587 Erforderlich, wenn ein SMTP-Server zum Versenden von E-Mails verwendet werden soll und sich im WAN befindet.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 DNS-Server UDP 53 Erforderlich für die DNS-Auflösung. Er kann im WAN oder in der DMZ angesiedelt sein.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 api.neomia.ai TCP 443 (Optional) Verbindung zu den APIs des Neomia Pulse Verhaltensbiometrischen MFA-Produkts.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 EU: keepersecurity.eu
US: keepersecurity.com
AU: keepersecurity.com.au
CA: keepersecurity.ca
JP: keepersecurity.jp		 TCP 443 (optional) Verbindung zum Keeper EPM {target="_blank"} Tresor je nach Standort.
Quelle Bestimmungsort Bestimmungshafen Anmerkungen
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 NTP-Zeitserver UDP 123 Wenn der Server seine Uhr mit einem Server in der DMZ synchronisieren muss.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 SMTP-Server TCP 25, 465, 587 Erforderlich, wenn ein SMTP-Server zum Versenden von E-Mails verwendet werden soll und sich in der DMZ befindet.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 Datenbankserver TCP 1433, 5432 oder ein anderer benutzerdefinierter Port Erforderlich, wenn Sie eine externe Datenbank in der DMZ verwenden möchten.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 DNS-Server UDP 53 Erforderlich für die DNS-Auflösung. Er kann in der DMZ oder im WAN angesiedelt sein.

Zusätzliche Informationen

Mediation Controller-Server müssen unabhängig vom Protokoll von und zu jeder ihrer Adressen miteinander kommunizieren können.

Quelle Bestimmungsort Bestimmungshafen Anmerkungen
IP_GW Debian-Repositories TCP 80 Erforderlich für die Installation von ** Cyber** Elementen Cleanroom Abhängigkeiten und die Aufrechterhaltung des Systems auf dem neuesten Stand. Die Dokumentation und virtuelle Appliances verwenden ftp.fr.debian.org und security.debian.org.
IP_GW DNS-Server UDP 53 Erforderlich für die DNS-Auflösung. Optional, wenn ein DNS-Server im LAN oder in der DMZ verfügbar ist.
IP_GW NTP-Zeitserver UDP 123 Optional, wenn der Server seine Uhr mit einem Server im LAN oder DMZ synchronisieren muss. Standardmäßig werden die Debian-Pools verwendet: 0.debian.pool.ntp.org, 1.debian.pool.ntp.org, 2.debian.pool.ntp.org und 3.debian.pool.ntp.org.
IP_GW SMS-Anbieter TCP 443 (Optional) Verbindung zu den APIs von SMS-Anbietern, die von ** Cyber** Elementen Cleanroom unterstützt werden.
Quelle Bestimmungsort Bestimmungshafen Anmerkungen
IP_GW
IP_HTML5_GW		 VIP_MED_WEB
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 TCP 443 (wenn der Standard-Port verwendet wird) Verbindung zum Edge Gateway Paarungssystem.
IP_GW
IP_HTML5_GW		 VIP_MED_SSL
RIP_MED_SSL_MASTER
RIP_MED_SSL_SLAVE		 TCP 443 (wenn der Standard-Port verwendet wird) Verbindung zum SSL-Router zur Errichtung eines TLSv1.3-Tunnels und zur Routing von Produktkommunikation durch diesen.
Client-Workstation VIP_MED_WEB
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 TCP 443 (wenn der Standard-Port verwendet wird) Verbindung zu den verschiedenen Web-Konsolen des Produkts.
Client-Arbeitsstation VIP_MED_SSL
RIP_MED_SSL_MASTER
RIP_MED_SSL_SLAVE		 TCP 443 (wenn der Standard-Port verwendet wird) Einrichtung eines TLS-Tunnels zur Verschlüsselung des Flusses, der durch den ** Cyber** Elemente Cleanroom Client geht.
RIP_MED_WEB_MASTER
RIP_MED_WEB_SLAVE		 TCP 22 SSH-Verbindung zum Mediation Controller Server.
Quelle Bestimmungsort Bestimmungshafen Anmerkungen
IP_GW DNS-Server UDP 53 Erforderlich für die DNS-Auflösung. Optional, wenn ein DNS-Server für das WAN oder die DMZ verwendet wird.
IP_GW LDAP- oder AD-Server TCP 389 oder 636 ** Cyber**Elemente Cleanroom Verbindung zu einem LDAP- oder AD-Server
IP_GW AD-Server TCP 139 und 445 AD-Konto-Passwort-Rotation, nur verwendet, wenn eine Rotation über LDAPS nicht möglich ist.
IP_GW RDP-Server TCP/UDP 3389 (wenn Standard-Port verwendet wird) Verbindung von ** Cyber** Elementen Cleanroom zu RDP-Servern.
IP_GW SSH-Server TCP 22 (wenn der Standard-Port verwendet wird) Verbindung von ** Cyber** Elementen Cleanroom zu SSH-Servern.
IP_GW VNC-Server TCP 5900 (wenn der Standard-Port verwendet wird) Verbindung von ** Cyber** Elementen Cleanroom zu VNC-Servern.
IP_GW Webserver TCP 80 oder 443 (wenn der Standard-Port verwendet wird) Verbindung von ** Cyber** Elementen Cleanroom zu Webservern.
IP_GW Citrix Storefront-Server TCP 443 (wenn der Standard-Port verwendet wird) Verbindung von ** Cyber**Elementen Cleanroom zu Citrix Storefront-Servern.
IP_GW Citrix-Anwendungsserver TCP 1494 Verbindung von ** Cyber**Elementen Cleanroom zu Citrix-Anwendungsservern (Start einer Anwendung oder eines Desktops mit dem ICA-Client).
IP_GW Dateiserver TCP 139 und 445 Verbindung von ** Cyber** Elementen Cleanroom zu Dateiservern.
IP_GW Datenbank-Server TCP 1433, 5432 oder ein anderer benutzerdefinierter Port Erforderlich, wenn Sie eine externe Datenbank im LAN verwenden möchten (zum Beispiel zum Übertragen der Vault-Datenbank).
IP_GW RDP-Server TCP 139 und 445 Einsatz des Aufzeichnungsagenten über die Verwaltungskonsole
Client-Arbeitsstation IP_GW TCP [Port, der vom Administrator definiert wird] Direkt SSH-Zugang.
Client-Arbeitsstation IP_GW TCP 3389 Direkte RDP-Zugangsverbindung.
RDP-Server IP_GW TCP 8443 Verbindung zwischen dem Aufzeichnungsagent und dem Edge Gateway zum Hochladen der Benutzer-Sitzungsaufzeichnung.
Administrator Workstation IP_GW TCP 22 SSH-Verbindung zum Edge Gateway Server.

Datenbank

cyberelements Cleanroom verwendet für seine Funktionsweise verschiedene Datenbanken (DB).

  1. Systemkonfigurationsdatenbank. Diese Datenbank wird verwendet, um alle Einstellungen für die /systemVerwaltungsoberfläche zu speichern, und muss default genannt werden.
  2. Organisationskonfigurationsdatenbank. Jede Organisation, die auf dem Mediation Controller-Server erstellt wird, benötigt eine andere Datenbank, um alle Organisationseinstellungen und -protokolle zu enthalten.
  3. Vault-Datenbank. Jede erstellte Organisation löst die Erstellung einer spezifischen DB für den Produkt-Vault aus, die standardmäßig auf dem Mediation Controller-Server gespeichert wird. Diese Datenbank kann an das LAN ausgelagert werden, vorausgesetzt, dass ein Edge Gateway darauf zugreifen kann.

Bei der Verwendung externer Datenbanken (Nominalfall im Cluster) werden folgende Datenbanktypen unterstützt:

Lizenz

Der Mediation Controller-Server benötigt eine Lizenz, um zu funktionieren.
Die Lizenz kann bei Systancia über das folgende Antragsformular erworben werden: Anfrage einer Lizenz

Bescheinigungen

Dieser Server verwendet fünf verschiedene Zertifikate:

  • Ein Web-Zertifikat, das HTTPS aktiviert.
  • Ein Zertifikat für die SSL-Routerkomponente, die für die Einrichtung von TLS-Tunnels und die Routing-Verkehrsverbindung zwischen diesen zuständig ist.
  • Ein Zertifikat für die Watchdog-Komponente, die für die Überwachung des ordnungsgemäßen Funktionierens des SSL-Routers zuständig ist.
  • Ein Zertifikat für den cyberelements Cleanroom Client, das es ihm ermöglicht, eine Verbindung zum SSL-Router herzustellen und einen TLSv1.3-Tunnel zu erstellen.
  • Ein Zertifikat für den Austausch zwischen den Server zwischen den Mediation Controllers (nur für den SLAVE Server).

Web-Zertifikat

Empfehlung

Das Web-Zertifikat sollte vorzugsweise von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die als vertrauenswürdig anerkannt ist.
Dies stellt sicher, dass Benutzer keine Warnungen bezüglich des verwendeten Zertifikats erhalten (sofern es gültig ist und den Namen enthält, mit dem der Benutzer die Verbindung eingeleitet hat), ohne dass zusätzliche Maßnahmen ergriffen werden.

Das Web-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 398 Tage (13 Monate) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss den DNS-Namen (oder das Wildcard), für den das Zertifikat bestimmt ist, als Wert haben.
  • Die Key Usage Das Attribut muss die Werte haben critical, digitalSignature und keyEncipherment.
  • Die Extended Key Usage Das Attribut muss die id-kp-serverAuth (OpenSSL verwendet die serverAuth Wert).
  • Die Subject Alternative Name Das Attribut muss mindestens einen Eintrag enthalten, der dem primären DNS-Namen entspricht; weitere Eintragungen können hinzugefügt werden, um andere DNS-Namen oder IP-Adressen abzudecken.

Akzeptiertes Zertifikatsformat: P12 oder PEM (mit zwei Dateien, einer für das Zertifikat und einer für den privaten Schlüssel).

SSL-Router-Zertifikat

Das SSL-Router-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss als Wert die IP-Adresse oder einen DNS-Namen haben, der auf IP_MED_SSL.
  • Die Key Usage Das Attribut muss die Werte haben critical, digitalSignature und keyEncipherment.
  • Die Extended Key Usage Das Attribut muss den Wert serverAuth.

Akzeptiertes Zertifikatsformat: P12.

--8<-- [Ende:Zertifikat-med-ssl]

Das Watchdog-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss einen Wert haben, der ein Identifikationsname für den Watchdog ist, z. B. Watchdog.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12.

--8<-- [Ende:Zertifikat-mit-Wachhund]

Das cyberelements Cleanroom Client-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss einen Wert haben, der ein Kundenname ist, z. B.cyberelements- Waschraum-Kunde.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von ** mindestens 8 alphanumerischen Zeichen** (Sonderzeichen, Akzentbuchstaben oder Bindestriche werden nicht unterstützt).

Das Zertifikat Cleanroominterserver cyberelements muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss einen Identifikationsnamen als Wert haben, z. B. interserver-cleanroom.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von mindestens 8 Zeichen ohne Sonderzeichen.

Das Edge Gateway-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Das Common Name-Attribut muss einen Wert haben, der den logischen Edge Gateway identifiziert. Dieser Name hat die folgende Form <GW_NAME>@<ORGANIZATION_NAME>, wobei <GW_NAME> dem Namen des Edge Gateway (wie in der Verwaltungskonsole eingegeben) entspricht und <ORGANIZATION_NAME> dem Namen der Organisation, mit der sich der Edge Gateway verbinden wird, entspricht.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12.

--8<-- [Ende:Zertifikat-gw]

Das Zertifikat für die Registrierungsdienste muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss den FQDN-Namen oder zumindest den Namen des Edge Gateway Maschine als Wert.
  • Die Key Usage Das Attribut muss die Werte haben critical, digitalSignature und keyEncipherment.
  • Die Extended Key Usage Das Attribut muss den Wert serverAuth.

Akzeptiertes Zertifikatsformat: P12.

--8<-- [Ende:Zertifikat-gw-betreuer]

Das HTML5-Gateway-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Das Common Name-Attribut muss einen Wert haben, der den logischen Edge Gateway identifiziert. Dieser Name hat die folgende Form <HTML5_GW_NAME>@<ORGANIZATION_NAME>, wobei <HTML5_GW_NAME> dem Namen des Edge Gateway (wie in der Verwaltungskonsole eingegeben) entspricht und <ORGANIZATION_NAME> dem Namen der Organisation, mit der sich der Edge Gateway verbinden wird, entspricht.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12.

Das Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss einen Wert haben, der Kurzbezeichnung, FQDN oder einem anderen Namen entspricht, der die Maschine eindeutig identifiziert.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12.

Zertifikat für Wachhunde

cyberelements Cleanroom Kundenzertifikat

Das cyberelements Cleanroom Client-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss einen Wert haben, der ein Kundenname ist, z. B.cyberelements- Waschraum-Kunde.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von ** mindestens 8 alphanumerischen Zeichen** (Sonderzeichen, Akzentbuchstaben oder Bindestriche werden nicht unterstützt).

Zertifikat für Interserver

Das Zertifikat Cleanroominterserver cyberelements muss die folgenden Einschränkungen für seine Attribute erfüllen:

  • Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
  • Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
  • Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA secp384r1 Kurvengröße von 384 Bit.
  • Die Common Name Das Attribut muss einen Identifikationsnamen als Wert haben, z. B. interserver-cleanroom.
  • Die Key Usage Das Attribut muss die Werte haben critical und digitalSignature.
  • Die Extended Key Usage Das Attribut muss den Wert clientAuth.

Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von mindestens 8 Zeichen ohne Sonderzeichen.

Dieser Server verwendet zwei verschiedene Zertifikate:

  • Ein Zertifikat zur Authentifizierung der Edge Gateway-Komponente mit dem SSL-Router.
  • Ein Zertifikat für den Aufzeichnungsdienst, damit sich Aufzeichnungsagenten mit ihm verbinden können.

Info

Ein Edge Gateway-Server kann mehrere Edge Gateway-Instanzen haben, die so viele Zertifikate benötigen, wie es Edge Gateway-Instanzen gibt (außer im spezifischen Fall der Cluster-Architektur).

Ein Edge Gateway-Server hat jedoch nur einen Aufzeichnungsdienst, so dass nur ein Zertifikat pro Maschine erforderlich ist.

Edge Gateway Zertifikat

Zertifikat für die Aufzeichnungsdienste

Dieser Server verwendet ein einziges Zertifikat: das für die Authentifizierung der HTML5-Gateway-Komponente mit dem SSL-Router.

Info

Ein HTML5-Gateway-Server kann mehrere Instanzen von HTML5-Gateway haben, was so viele Zertifikate erfordert, wie es Instanzen von HTML5-Gateway gibt (außer im spezifischen Fall der Cluster-Architektur).

HTML5-Gateway-Zertifikat

Bei der direkten Zugriffstätigkeit authentifiziert sich der direkten Aufzeichnungsagent mit einem Zertifikat beim Aufzeichnungsdienst eines Edge Gateway.