Přesměrování nešifrované komunikace na protokol HTTPS

Z enTeam
Skočit na navigaci Skočit na vyhledávání

Nastavení HTTPS

Pro zajištění bezpečnosti komunikace klientů s webovým rozhraním aplikace enTeam doporučujeme nastavit šifrovanou komunikaci pomocí protokolu HTTPS.
Nastavení HTTPS se liší dle způsobu provozování webového rozhraní (služba OS Windows vs. aplikace provozovaná v IIS).

Předpoklady

Jediným předpokladem nastavení HTTPS je existence použitelného SSL certifikátu, který splňuje následující podmínky:

  • je platný (časově)
  • je vydaný na doménu, na které je provozováno webové rozhraní enTeam
  • obsahuje rozšíření "Server Authentication" (Extended Key Usage = Server Authentication)
  • je vydán uznávanou certifikační autoritou
  • obsahuje privátní klíč

Pro jednoduchost budeme dále v textu předpokládat, že certifikát je na serveru importován do úložiště certifikátů LocalMachine\My a je dostupný pro uživatele, pod kterým běží webový server s webovým rozhraním enTeam.

Služba OS Windows

V případě, že webové rozhraní enTeam je provozováno jako služba operačního systému Windows, je pro jeho běh použit webový server Kestrel.
Kompletní dokumentaci nastavení webového serveru Kestrel lze nalézt na https://learn.microsoft.com/en-us/aspnet/core/fundamentals/servers/kestrel/endpoints?view=aspnetcore-8.0

Zjištění údajů certifikátu

Pro konfiguraci je třeba znát buď:

  • Subject, nebo
  • Thumbprint – např. AB12CD34EF56...

Tyto údaje je možné zjistit pomocí aplikace PowerShell: <syntaxhighlight lang="powershell"> Get-ChildItem -Path Cert:\LocalMachine\My </syntaxhighlight>

Konfigurace appsettings.json

V adresáři projektu upravte soubor appsettings.json:

Varianta se Subject: 

 "Kestrel": {
   "Endpoints": {
     "Https": {
       "Url": "https://*:5001",
       "Certificate": {
         "Subject": "<... zjištěná hodnota Subject ...>",
         "Store": "My",
         "Location": "LocalMachine",
         "AllowInvalid": false
       }
     }
   }
 }

Varianta s Thumbprint: 

 "Kestrel": {
   "Endpoints": {
     "Https": {
       "Url": "https://*:5001",
       "Certificate": {
         "Thumbprint": "<... zjištěná hodnota Thumbprint ...>",
         "Store": "My",
         "Location": "LocalMachine",
         "AllowInvalid": false
       }
     }
   }
 }

Poznámka: Klíč AllowInvalid: false zakazuje použití samo-podepsaných (self-signed) certifikátů. V neprodukčním prostředí lze jejich použití povolit nastavením hodnoty true.

Aplikace v rámci IIS

V případě, že webové rozhraní enTeam je provozováno jako aplikace v rámci webového serveru IIS, je třeba certifikát importovat do IIS a nastavit jeho použití aplikací.
Kompletní dokumentaci nastavení webového serveru IIS lze nalézt na https://learn.microsoft.com/en-us/iis/configuration/

Import certifikátu do IIS

Certifikát ve formátu .pfx importujte do IIS následujícím postupem:

  • Otevřte aplikaci IIS Manager (inetmgr)
  • V levém panelu klikněte na název serveru (ne na konkrétní web)
  • Otevřte položku Server Certificates
  • Vpravo klikněte na Import...
  • Vyberte .pfx soubor a zadejte heslo
  • Potvrďte tlačítkem OK

Certifikát se objeví v seznamu serverových certifikátů.

Přiřazení certifikátu k webové aplikaci

  • V IIS Manageru vyberte aplikaci enTeam.WebApi
  • Vpravo klikněte na Bindings...
  • Zvolte Add...
    • Type: https
    • IP address: All Unassigned
    • Port: port pro aplikaci webového rozhraní enTeam
    • SSL certificate: vyberte certifikát
  • Potvrďte kliknutím na OK
Citováno z „https://wiki.enteam.cz/index.php?title=Přesměrování_nešifrované_komunikace_na_protokol_HTTPS&oldid=881