Přesměrování nešifrované komunikace na protokol HTTPS: Porovnání verzí

Z enTeam
Skočit na navigaci Skočit na vyhledávání
(Konfigurace appsettings.json)
Řádek 32: Řádek 32:
  
 
<b>Varianta se Subject:</b>
 
<b>Varianta se Subject:</b>
<syntaxhighlight lang="json">
+
<br>
 
{
 
{
 
   "Kestrel": {
 
   "Kestrel": {
Řádek 48: Řádek 48:
 
   }
 
   }
 
}
 
}
</syntaxhighlight>
+
<br>
  
 
<b>Varianta s Thumbprint:</b>
 
<b>Varianta s Thumbprint:</b>

Verze z 29. 8. 2025, 10:23

Nastavení HTTPS

Pro zajištění bezpečnosti komunikace klientů s webovým rozhraním aplikace enTeam doporučujeme nastavit šifrovanou komunikaci pomocí protokolu HTTPS.
Nastavení HTTPS se liší dle způsobu provozování webového rozhraní (služba OS Windows vs. aplikace provozovaná v IIS).

Předpoklady

Jediným předpokladem nastavení HTTPS je existence použitelného SSL certifikátu, který splňuje následující podmínky:

  • je platný (časově)
  • je vydaný na doménu, na které je provozováno webové rozhraní enTeam
  • obsahuje rozšíření "Server Authentication" (Extended Key Usage = Server Authentication)
  • je vydán uznávanou certifikační autoritou
  • obsahuje privátní klíč

Pro jednoduchost budeme dále v textu předpokládat, že certifikát je na serveru importován do úložiště certifikátů LocalMachine\My a je dostupný pro uživatele, pod kterým běží webový server s webovým rozhraním enTeam.

Služba OS Windows

V případě, že webové rozhraní enTeam je provozováno jako služba operačního systému Windows, je pro jeho běh použit webový server Kestrel.
Kompletní dokumentaci nastavení webového serveru Kestrel lze nalézt na https://learn.microsoft.com/en-us/aspnet/core/fundamentals/servers/kestrel/endpoints?view=aspnetcore-8.0

Zjištění údajů certifikátu

Pro konfiguraci je třeba znát buď:

  • Subject, nebo
  • Thumbprint – např. AB12CD34EF56...

Tyto údaje je možné zjistit pomocí aplikace PowerShell: <syntaxhighlight lang="powershell"> Get-ChildItem -Path Cert:\LocalMachine\My </syntaxhighlight>

Konfigurace appsettings.json

V adresáři projektu upravte soubor appsettings.json:

Varianta se Subject:
{ 

 "Kestrel": {
   "Endpoints": {
     "Https": {
       "Url": "https://*:5001",
       "Certificate": {
         "Subject": "<... zjištěná hodnota Subject ...>",
         "Store": "My",
         "Location": "LocalMachine",
         "AllowInvalid": false
       }
     }
   }
 }

}

Varianta s Thumbprint: <syntaxhighlight lang="json"> { 

 "Kestrel": {
   "Endpoints": {
     "Https": {
       "Url": "https://*:5001",
       "Certificate": {
         "Thumbprint": "<... zjištěná hodnota Thumbprint ...>",
         "Store": "My",
         "Location": "LocalMachine",
         "AllowInvalid": false
       }
     }
   }
 }

} </syntaxhighlight>

Poznámka: Klíč AllowInvalid: false zakazuje použití samo-podepsaných (self-signed) certifikátů. V neprodukčním prostředí lze jejich použití povolit nastavením hodnoty true.

4. Přístupová práva

Pokud je certifikát uložen v LocalMachine\My, aplikace musí mít odpovídající oprávnění:

  • Spouštěj jako správce
  • Nebo běž jako Windows služba s přístupem k privátním klíčům

Pro ladění můžeš použít StoreLocation.CurrentUser, kde oprávnění nejsou potřeba.

Citováno z „https://wiki.enteam.cz/index.php?title=Přesměrování_nešifrované_komunikace_na_protokol_HTTPS&oldid=877