Voraussetzungen für eine cyberElemente CleanroomEinzelplattform¶
Maschine¶
Betriebsbedingungen¶
cyberelements Cleanroom läuft auf 64-Bit-Debian 12 (Bookworm) Maschinen.
Es wird empfohlen, Maschinen ohne grafische Schnittstelle zu verwenden und die installierten Komponenten auf den SSH-Server zu beschränken.
CPU¶
Eine CPU mit 4 Kernen deckt die meisten Anwendungsfälle für das Produkt ab.
RAM¶
Disk¶
Netzwerk¶
Eine eigenständige CyberElemente CleanroomPlattform erfordert:
- 2 IP-Adressen für den Mediation Controller-Server (über die gleiche Netzwerkoberfläche)
- 1 IP-Adresse pro Edge Gateway oder HTML5-Gateway-Maschine
Der Mediation Controller-Server wird in der Regel in einer DMZ platziert, kann aber auch in einer privaten DMZ platziert oder in einer öffentlichen Cloud gehostet werden. Dies hängt vom Anwendungsfall der Plattform ab (z. B. Fernzugriff für Dienstleister oder Sicherung des internen Zugriffs auf geschützte Bereiche).
Edge Gateway-Server sind in der Regel im LAN, in VLANs platziert, die es ihnen ermöglichen, mit Zielressourcen zu kommunizieren.
HTML5-Gateway-Server können entweder im LAN oder in der DMZ platziert werden. Diese Dokumentation sieht die Installation der HTML5-Gateway-Komponente auf dem Edge Gateway-Server, d. h. im LAN, vor.
Um die verschiedenen Maschinenadressen besser zu identifizieren, werden sie in der Dokumentation wie folgt bezeichnet:
| IP-Adressname | Bedeutung |
|---|---|
IP_MED_WEB |
Primäre IP-Adresse des Mediation Controller Servers, die den Zugriff auf Web-Konsolen ermöglicht. |
IP_MED_SSL |
Zweite IP-Adresse des Mediation Controller Servers, der von der SSL-Router-Komponente verwendet wird. |
IP_GW |
IP-Adresse des Edge Gateway Servers. |
IP_HTML5_GW |
IP-Adresse des HTML5-Gateway-Servers. |
Info
Die gezeigten Flow-Informationen gehen davon aus, dass sich der Mediation Controller-Server in der DMZ befindet und dass sich der Edge Gateway-Server auch in der Rolle des HTML5-Gateways im LAN befindet.
Die IP-Adressen des Mediation Controller können entweder öffentliche IP-Adressen sein, die direkt dem Mediation Controller-Server zugewiesen werden, oder öffentliche IP-Adressen, die mit privaten IP-Adressen vernetzt sind (empfohlen).
| Quelle | Bestimmungsort | Bestimmungshafen | Anmerkungen |
|---|---|---|---|
| Arbeitsplatz des Benutzers | IP_MED_WEB |
TCP 443 (wenn der Standard-Port verwendet wird) | Zugriff auf Web-Konsolen und Anwendungen, die direkt im Browser ausgeführt werden, ermöglichen. |
| Arbeitsplatz des Benutzers | IP_MED_SSL |
TCP 443 (wenn der Standard-Port verwendet wird) | Ein TLS-Tunnel zur Verschlüsselung des Flusses durch die InternetElemente Cleanroom - Ich bin ein Kunde. |
IP_GW |
IP_MED_WEB |
TCP 443 (wenn der Standard-Port verwendet wird) | Wenn sich der Edge Gateway in einem Fernnetz befindet. Verbindung zum Edge Gateway Pairing-System. |
IP_GW |
IP_MED_SSL |
TCP 443 (wenn der Standard-Port verwendet wird) | Wenn sich der Edge Gateway in einem Remote-Netzwerk befindet. Verbinden Sie sich mit dem SSL-Router, um einen TLSv1.3-Tunnel zu erstellen und die Produktkommunikation durch diesen zu leiten. |
| Quelle | Bestimmungsort | Bestimmungshafen | Anmerkungen |
|---|---|---|---|
IP_MED_WEB |
Debian-Repositories | TCP 80 | Erforderlich für die Installation von ** Cyber** Elementen Cleanroom Abhängigkeiten und die Aufrechterhaltung des Systems auf dem neuesten Stand. Die Dokumentation und virtuelle Appliances verwenden ftp.fr.debian.org und security.debian.org. |
IP_MED_WEB |
packages.microsoft.com |
TCP 443 | Microsoft-Repository zum Installieren und Aktualisieren von MS SQL-Treibern. Nur erforderlich, wenn Zugriff auf eine MS SQL-Datenbank gewünscht wird (virtuelle Geräte haben MS SQL-Treibern). |
IP_MED_WEB |
NTP-Zeitserver | UDP 123 | Optional, wenn der Server seine Uhr mit einem Server in der DMZ synchronisieren muss. Standardmäßig werden die Debian-Pools verwendet: 0.debian.pool.ntp.org, 1.debian.pool.ntp.org, 2.debian.pool.ntp.org und 3.debian.pool.ntp.org. |
IP_MED_WEB |
SMTP-Server | TCP 25, 465, 587 | Erforderlich, wenn ein SMTP-Server zum Versenden von E-Mails verwendet werden muss und im WAN angesiedelt ist. |
IP_MED_WEB |
DNS-Server | UDP 53 | Erforderlich für die DNS-Auflösung. Er kann im WAN oder in der DMZ angesiedelt sein. |
IP_MED_WEB |
api.neomia.ai |
TCP 443 | (Optional) Verbindung zu den APIs des Neomia Pulse Verhaltensbiometrischen MFA-Produkts. |
IP_MED_WEB |
EU: keepersecurity.eu US: keepersecurity.com AU: keepersecurity.com.au CA: keepersecurity.ca JP: keepersecurity.jp |
TCP 443 | (Optional) Verbindung zum Keeper EPM {target="_blank"} Tresor je nach Standort. |
| Quelle | Bestimmungsort | Bestimmungshafen | Anmerkungen |
|---|---|---|---|
IP_MED_WEB |
NTP-Zeitserver | UDP 123 | Wenn der Server seine Uhr mit einem Server in der DMZ synchronisieren muss. |
IP_MED_WEB |
SMTP-Server | TCP 25, 465, 587 | Erforderlich, wenn ein SMTP-Server zum Versenden von E-Mails verwendet werden muss und sich in der DMZ befindet. |
IP_MED_WEB |
Datenbankserver | TCP 1433, 5432 oder ein anderer benutzerdefinierter Port | Erforderlich, wenn Sie eine externe Datenbank in der DMZ verwenden möchten. |
IP_MED_WEB |
DNS-Server | UDP 53 | Erforderlich für die DNS-Auflösung. Er kann in der DMZ oder im WAN angesiedelt sein. |
| Quelle | Bestimmungsort | Bestimmungshafen | Anmerkungen |
|---|---|---|---|
IP_GW |
Debian-Repositories | TCP 80 | Erforderlich für die Installation von ** Cyber** Elementen Cleanroom Abhängigkeiten und die Aufrechterhaltung des Systems auf dem neuesten Stand. Die Dokumentation und virtuelle Appliances verwenden ftp.fr.debian.org und security.debian.org. |
IP_GW |
DNS-Server | UDP 53 | Erforderlich für die DNS-Auflösung. Optional, wenn ein DNS-Server im LAN oder in der DMZ verfügbar ist. |
IP_GW |
NTP-Zeitserver | UDP 123 | Optional, wenn der Server seine Uhr mit einem Server im LAN oder DMZ synchronisieren muss. Standardmäßig werden die Debian-Pools verwendet: 0.debian.pool.ntp.org, 1.debian.pool.ntp.org, 2.debian.pool.ntp.org und 3.debian.pool.ntp.org. |
IP_GW |
SMS-Anbieter | TCP 443 | (Optional) Verbindung zu den APIs von SMS-Anbietern, die von ** Cyber** Elementen Cleanroom unterstützt werden. |
| Quelle | Bestimmungsort | Bestimmungshafen | Anmerkungen |
|---|---|---|---|
IP_GW IP_HTML5_GW |
IP_MED_WEB |
TCP 443 (wenn der Standardanschluss verwendet wird) | Verbindung zum Edge Gateway Paarungssystem. |
IP_GW IP_HTML5_GW |
IP_MED_SSL |
TCP 443 (wenn der Standard-Port verwendet wird) | Verbindung zum SSL-Router zur Errichtung eines TLSv1.3-Tunnels und zur Routing von Produktkommunikation durch diesen. |
| Client-Workstation | IP_MED_WEB |
TCP 443 (wenn der Standard-Port verwendet wird) | Verbindung zu den verschiedenen Web-Konsolen des Produkts |
| Client-Arbeitsplatz | IP_MED_SSL |
TCP 443 (wenn der Standard-Port verwendet wird) | Ein TLS-Tunnel zur Verschlüsselung des Flusses durch die InternetElemente Cleanroom - Ich bin ein Kunde. |
| Administrator Workstation | IP_MED_WEB |
TCP 22 | SSH-Verbindung zum Mediation Controller Server. |
| Quelle | Bestimmungsort | Bestimmungshafen | Anmerkungen |
|---|---|---|---|
IP_GW |
DNS-Server | UDP 53 | Erforderlich für die DNS-Auflösung. Optional, wenn ein DNS-Server für das WAN oder die DMZ verwendet wird. |
IP_GW |
LDAP- oder AD-Server | TCP 389 oder 636 | ** Cyber**Elemente Cleanroom Verbindung zu einem LDAP- oder AD-Server |
IP_GW |
AD-Server | TCP 139 und 445 | AD-Konto-Passwort-Rotation, nur verwendet, wenn eine Rotation über LDAPS nicht möglich ist. |
IP_GW |
RDP-Server | TCP/UDP 3389 (wenn Standard-Port verwendet wird) | Verbindung von ** Cyber** Elementen Cleanroom zu RDP-Servern. |
IP_GW |
SSH-Server | TCP 22 (wenn der Standard-Port verwendet wird) | Verbindung von ** Cyber** Elementen Cleanroom zu SSH-Servern. |
IP_GW |
VNC-Server | TCP 5900 (wenn der Standard-Port verwendet wird) | Verbindung von ** Cyber** Elementen Cleanroom zu VNC-Servern. |
IP_GW |
Webserver | TCP 80 oder 443 (wenn der Standard-Port verwendet wird) | Verbindung von ** Cyber** Elementen Cleanroom zu Webservern. |
IP_GW |
Citrix Storefront-Server | TCP 443 (wenn der Standard-Port verwendet wird) | Verbindung von ** Cyber**Elementen Cleanroom zu Citrix Storefront-Servern. |
IP_GW |
Citrix-Anwendungsserver | TCP 1494 | Verbindung von ** Cyber**Elementen Cleanroom zu Citrix-Anwendungsservern (Start einer Anwendung oder eines Desktops mit dem ICA-Client). |
IP_GW |
Dateiserver | TCP 139 und 445 | Verbindung von ** Cyber** Elementen Cleanroom zu Dateiservern. |
IP_GW |
Datenbank-Server | TCP 1433, 5432 oder ein anderer benutzerdefinierter Port | Erforderlich, wenn Sie eine externe Datenbank im LAN verwenden möchten (zum Beispiel zum Übertragen der Vault-Datenbank). |
IP_GW |
RDP-Server | TCP 139 und 445 | Einsatz des Aufzeichnungsagenten über die Verwaltungskonsole |
| Client-Arbeitsstation | IP_GW |
TCP [Port, der vom Administrator definiert wird] | Direkt SSH-Zugang. |
| Client-Arbeitsstation | IP_GW |
TCP 3389 | Direkte RDP-Zugangsverbindung. |
| RDP-Server | IP_GW |
TCP 8443 | Verbindung zwischen dem Aufzeichnungsagent und dem Edge Gateway zum Hochladen der Benutzer-Sitzungsaufzeichnung. |
| Administrator Workstation | IP_GW |
TCP 22 | SSH-Verbindung zum Edge Gateway Server. |
Datenbank¶
cyberelements Cleanroom verwendet für seine Funktionsweise verschiedene Datenbanken (DB).
- Systemkonfigurationsdatenbank. Diese Datenbank wird verwendet, um alle Einstellungen für die
/systemVerwaltungsschnittstelle zu speichern. In einer eigenständigen Installation wird diese Datenbank direkt vom Produkt erstellt und verwaltet, indem ein PostgreSQL-Server auf dem Mediation ControllerServer installiert wird. - Organisationskonfigurationsdatenbank. Jede Organisation, die auf dem Mediation ControllerServer erstellt wird, benötigt eine andere DB, um alle Organisationseinstellungen und Protokolle zu enthalten. Diese Datenbank wird normalerweise auf dem Mediation ControllerServer und seiner lokalen PostgreSQL-Datenbank gehostet, kann aber auch in die DMZ oder LAN verschoben werden.
- Vault-Datenbank. Jede erstellte Organisation löst die Erstellung einer spezifischen DB für den Produkt-Vault aus, die standardmäßig auf dem Mediation Controller-Server gespeichert wird. Diese Datenbank kann an das LAN ausgelagert werden, vorausgesetzt, dass ein Edge Gateway darauf zugreifen kann.
Bei der Verwendung externer Datenbanken werden folgende Datenbanktypen unterstützt:
- PostgreSQL-Version 15
- Microsoft SQL Server und seine unterstützten Versionen ohne Wartungs-Erweiterung
Lizenz¶
Der Mediation Controller-Server benötigt eine Lizenz, um zu funktionieren.
Die Lizenz kann bei Systancia über das folgende Antragsformular erworben werden: Anfrage einer Lizenz
Bescheinigungen¶
Dieser Server verwendet vier verschiedene Zertifikate:
- Ein Web-Zertifikat, das HTTPS aktiviert.
- Ein Zertifikat für die SSL-Routerkomponente, die für die Einrichtung von TLS-Tunnels und die Routing-Verkehrsverbindung zwischen diesen zuständig ist.
- Ein Zertifikat für die Watchdog-Komponente, die für die Überwachung des ordnungsgemäßen Funktionierens des SSL-Routers zuständig ist.
- Ein Zertifikat für den cyberelements Cleanroom Client, das es ihm ermöglicht, eine Verbindung zum SSL-Router herzustellen und einen TLSv1.3-Tunnel zu erstellen.
Web-Zertifikat
Empfehlung
Das Web-Zertifikat sollte vorzugsweise von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die als vertrauenswürdig anerkannt ist.
Dies stellt sicher, dass Benutzer keine Warnungen bezüglich des verwendeten Zertifikats erhalten (sofern es gültig ist und den Namen enthält, mit dem der Benutzer die Verbindung eingeleitet hat), ohne dass zusätzliche Maßnahmen ergriffen werden.
Das Web-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 398 Tage (13 Monate) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss den DNS-Namen (oder das Wildcard), für den das Zertifikat bestimmt ist, als Wert haben. - Die
Key UsageDas Attribut muss die Werte habencritical,digitalSignatureundkeyEncipherment. - Die
Extended Key UsageDas Attribut muss dieid-kp-serverAuth(OpenSSL verwendet dieserverAuthWert). - Die
Subject Alternative NameDas Attribut muss mindestens einen Eintrag enthalten, der dem primären DNS-Namen entspricht; weitere Eintragungen können hinzugefügt werden, um andere DNS-Namen oder IP-Adressen abzudecken.
Akzeptiertes Zertifikatsformat: P12 oder PEM (mit zwei Dateien, einer für das Zertifikat und einer für den privaten Schlüssel).
SSL-Router-Zertifikat
Das SSL-Router-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss als Wert die IP-Adresse oder einen DNS-Namen haben, der aufIP_MED_SSL. - Die
Key UsageDas Attribut muss die Werte habencritical,digitalSignatureundkeyEncipherment. - Die
Extended Key UsageDas Attribut muss den WertserverAuth.
Akzeptiertes Zertifikatsformat: P12.
--8<-- [Ende:Zertifikat-med-ssl]¶
Das Watchdog-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss einen Wert haben, der ein Identifikationsname für den Watchdog ist, z. B. Watchdog. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12.
--8<-- [Ende:Zertifikat-mit-Wachhund]¶
Das cyberelements Cleanroom Client-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss einen Wert haben, der ein Kundenname ist, z. B.cyberelements- Waschraum-Kunde. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von ** mindestens 8 alphanumerischen Zeichen** (Sonderzeichen, Akzentbuchstaben oder Bindestriche werden nicht unterstützt).
Das Zertifikat Cleanroominterserver cyberelements muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss einen Identifikationsnamen als Wert haben, z. B. interserver-cleanroom. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von mindestens 8 Zeichen ohne Sonderzeichen.
Das Edge Gateway-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Das
Common Name-Attribut muss einen Wert haben, der den logischen Edge Gateway identifiziert. Dieser Name hat die folgende Form<GW_NAME>@<ORGANIZATION_NAME>, wobei<GW_NAME>dem Namen des Edge Gateway (wie in der Verwaltungskonsole eingegeben) entspricht und<ORGANIZATION_NAME>dem Namen der Organisation, mit der sich der Edge Gateway verbinden wird, entspricht. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12.
--8<-- [Ende:Zertifikat-gw]¶
Das Zertifikat für die Registrierungsdienste muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss den FQDN-Namen oder zumindest den Namen des Edge Gateway Maschine als Wert. - Die
Key UsageDas Attribut muss die Werte habencritical,digitalSignatureundkeyEncipherment. - Die
Extended Key UsageDas Attribut muss den WertserverAuth.
Akzeptiertes Zertifikatsformat: P12.
--8<-- [Ende:Zertifikat-gw-betreuer]¶
Das HTML5-Gateway-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Das
Common Name-Attribut muss einen Wert haben, der den logischen Edge Gateway identifiziert. Dieser Name hat die folgende Form<HTML5_GW_NAME>@<ORGANIZATION_NAME>, wobei<HTML5_GW_NAME>dem Namen des Edge Gateway (wie in der Verwaltungskonsole eingegeben) entspricht und<ORGANIZATION_NAME>dem Namen der Organisation, mit der sich der Edge Gateway verbinden wird, entspricht. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12.
Das Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss einen Wert haben, der Kurzbezeichnung, FQDN oder einem anderen Namen entspricht, der die Maschine eindeutig identifiziert. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12.
Zertifikat für Wachhunde
cyberelements Cleanroom Kundenzertifikat
Das cyberelements Cleanroom Client-Zertifikat muss die folgenden Einschränkungen für seine Attribute erfüllen:
- Die Gültigkeitsdauer der Bescheinigung darf 1095 Tage (3 Jahre) nicht überschreiten.
- Die für die Signatur verwendete Hash-Funktion muss Teil der SHA-2-Familie sein; wir empfehlen SHA-512.
- Das Zertifikat und die Zertifikate seiner Zertifizierungsstellen müssen einen privaten Schlüssel von mindestens 2048 Bit mit RSA-, DSA- und DH-Verschlüsselung haben; bei elliptischen Kurven-Schlüsseln (ECC) müssen diese mindestens 224 Bit betragen. Wir empfehlen eine Größe von 4096 Bit für RSA und eine ECDSA
secp384r1Kurvengröße von 384 Bit. - Die
Common NameDas Attribut muss einen Wert haben, der ein Kundenname ist, z. B.cyberelements- Waschraum-Kunde. - Die
Key UsageDas Attribut muss die Werte habencriticalunddigitalSignature. - Die
Extended Key UsageDas Attribut muss den WertclientAuth.
Akzeptiertes Zertifikatsformat: P12 mit einem Passwort von ** mindestens 8 alphanumerischen Zeichen** (Sonderzeichen, Akzentbuchstaben oder Bindestriche werden nicht unterstützt).
Dieser Server verwendet zwei verschiedene Zertifikate:
- Ein Zertifikat zur Authentifizierung der Edge Gateway-Komponente mit dem SSL-Router.
- Ein Zertifikat für den Aufzeichnungsdienst, damit sich Aufzeichnungsagenten mit ihm verbinden können.
Info
Ein Edge Gateway-Server kann mehrere Edge Gateway-Instanzen haben, die so viele Zertifikate benötigen, wie es Edge Gateway-Instanzen gibt (außer im spezifischen Fall der Cluster-Architektur).
Ein Edge Gateway-Server hat jedoch nur einen Aufzeichnungsdienst, so dass nur ein Zertifikat pro Maschine erforderlich ist.
Edge Gateway Zertifikat
Zertifikat für die Aufzeichnungsdienste
Dieser Server verwendet ein einziges Zertifikat: das für die Authentifizierung der HTML5-Gateway-Komponente mit dem SSL-Router.
Info
Ein HTML5-Gateway-Server kann mehrere Instanzen von HTML5-Gateways haben, die so viele Zertifikate benötigen, wie es Instanzen von HTML5-Gateways gibt (außer im spezifischen Fall der Cluster-Architektur).
HTML5-Gateway-Zertifikat
Bei der direkten Zugriffstätigkeit authentifiziert sich der direkten Aufzeichnungsagent mit einem Zertifikat beim Aufzeichnungsdienst eines Edge Gateway.