10mdm- Server und mdm-CA-Server konfigurieren

Für eine einwandfreie Funktion benötigt der mdm Server eine XML preferences file als Konfigurationsdatei, die beim Hochfahren des Servers angegeben werden kann (siehe  „mdm-Server / mdm-Client starten und stoppen“ auf Seite 47).

Eine Standard-Konfigurationsdatei (preferences.xml) ist in der Datei mdm-server-1.12.x.zip enthalten. Entpacken Sie die zip-Datei, um auf die Datei preferences.xml zugreifen zu kön­nen.

10.1mdm-Server (Datei preferences.xml)

Node com

Standardeinstellung (nicht ändern!)

Node innominate 

Standardeinstellung (nicht ändern!)

Node innomms

Standardeinstellung (nicht ändern!)

Node is

Key expertMode

Wenn auf True gesetzt, werden einige nicht unterstützte Konfigurationsvariablen, die nor­malerweise verborgen sind, im Dialog Device and Template Properties aktiviert (Stan­dardeinstellung: false). Darüber hinaus werden die mGuards so konfiguriert, dass nicht un­terstützte Konfigurationsvariablen in deren Webinterface sichtbar werden. Diesen Wert auf keinen Fall ändern!

Key defaultAdminPassword

Das Passwort des Benutzers admin an neu angelegten mGuards (Standard: mGuard). Der Standardwert entspricht den Werkseinstellungen des mGuards. Wenn mGuard-Geräte vor ihrer Verwendung mit mdm vorkonfiguriert werden, kann ein anderes Standardpasswort für admin eingerichtet werden und die Datenbank muss mit dem folgenden Befehl aktualisiert werden:

java -Xmx1024m -jar mdm-server-1.12.x.jar update preferences.xml

Key defaultRootPassword

Das Passwort des Benutzers root an neu angelegten mGuards (Standard: root). Der Stan­dardwert entspricht den Werkseinstellungen des mGuard. Wenn mGuard-Geräte vor ihrer Verwendung mit mdm vorkonfiguriert werden, kann ein anderes Standardpasswort für root eingerichtet werden und die Datenbank muss mit dem folgenden Befehl aktualisiert wer­den:

java -Xmx1024m -jar mdm-server-1.12.x.jar update preferences.xml

Key overrideDefaultPasswordNt

Wenn auf „True“ gesetzt, wird FL MGUARD 1000-Geräten als Default-Passwort das Admin-Passwort, das im key defaultAdminPassword spezifiziert wird, zugewiesen. Die Voreinstel­lung ist „False“.

Node license

Key licenseFile

Name und Pfad der Lizenzdatei.

Node device

Node licenseServer

–Key proto

Das für den Zugriff auf den Lizenzserver zu verwendende Protokoll (Standard: http). Diesen Wert auf keinen Fall ändern!

–Key address

Die Adresse des Lizenzservers (Standard: online.license.innominate.com). Diesen Wert auf keinen Fall ändern!

–Key port

Der für den Zugriff auf den Lizenzserver zu verwendende Port (Standard: 80). Diesen Wert auf keinen Fall ändern!

–Key reqPage

Das zum Anfordern von Lizenzen aufzurufende CGI-Skript (Standard: cgi-bin/autoreq.cgi). Diesen Wert auf keinen Fall ändern!

–Key refPage

Das zum Aktualisieren von Lizenzen aufzurufende CGI-Skript (Standard: cgi-bin/autorefresh.cgi). Diesen Wert auf keinen Fall ändern!

–Key reqProfKey

Das zum Anfordern von Profilschlüsseln aufzurufende CGI-Skript (Standard: cgi-bin/autodevcert.cgi). Diesen Wert auf keinen Fall ändern!

–Key reqUsername

Der zum Anfordern von Profilschlüsseln benötigte Benutzername. Einen Benutzernamen erhalten Sie vom Kundendienst von Phoenix Contact.

–Key reqPassword

Das zum Anfordern von Profilschlüsseln benötigte Passwort. Einen Benutzernamen erhalten Sie vom Kundendienst von Phoenix Contact.

–Key retries

Die Anzahl der Versuche zum Kontaktieren des Lizenzservers (Standard: 3). Diesen Wert auf keinen Fall ändern!

–Key timeout

Die Zeitabschaltung in Sekunden beim Kontaktieren des Lizenzservers (Standard: 60). Diesen Wert auf keinen Fall ändern!

Node connection

–Key useProxy

Hier können Sie konfigurieren, ob ein Proxy für die Verbindung mit dem Lizenzserver benötigt wird (Standard: false).

–Key proxyAddress

Die Adresse des Proxy zum Kontaktieren des Lizenzservers (Standard: 127.0.0.1).

–Key proxyPort

Der für den Zugriff auf den Lizenzserver zu verwendende Port des Proxy (Standard: 3128).

–Key proxyRequiresAuthentication

Boolean, das festlegt, ob der Proxy eine Authentifizierung erfordert (Standard: false).

–Key proxyAuthenticationUsername
Key proxyAuthenticationPassword
Key proxyAuthenticationRealm

Die zu verwendenden Anmeldedaten für den Fall, dass der Proxy eine Authentifizierung erfordert (Standard: leer).

Node service

Key address

Die IP-Adresse, die die Netzwerkschnittstelle bezeichnet, an der der Server auf Client-Ver­bindungen horcht. Bei Angabe von 0.0.0.0, lauscht der Server an allen Schnittstellen (Stan­dard: 127.0.0.1).

Key port

Die Nummer des Ports, an dem der Server auf Client-Verbindungen horcht (Standard: 7001).

Key backlog

Anzahl der zu speichernde Protokolleinträge (Standard: 50).

Key storage

Der zu verwendende Speicher (Standard: database).

Node security

Key keyStore

Name und Pfad der Schlüsselspeicherdatei.

Key keyStoreType

Format des Schlüsselspeichers, entweder JKS (Java KeyStore) oder PKCS12 (OpenSSL).

Key keyStorePassword

Passwort für die Schlüsselspeicherdatei. Der Sonderwert ENV:PASSWORD_SSL ver­anlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Va­riable PASSWORD_SSL zu lesen; die Bezeichnung PASSWORD_SSL ist lediglich ein Beispiel und kann auch geändert werden.

Key trustStore

Name und Pfad der Truststore-Datei.

Key trustStoreType

Format des Truststores, entweder JKS (Java KeyStore) oder PKCS12 (OpenSSL).

Key trustStorePassword

Passwort für die Truststore-Datei. Der Sonderwert ENV:PASSWORD_SSL veranlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Variable PASSWORD_SSL zu lesen; die Bezeichnung PASSWORD_SSL ist lediglich ein Bei­spiel und kann auch geändert werden.

Node session

Key maxInactiveInterval

Die maximale Dauer der inaktiven Phase (in Sekunden), für die der Server die Sitzung zwischen den Client-Zugriffen offen lässt.

Ein negativer Wert oder Null (Standard) weist darauf hin, dass es für eine Sitzung keine Zeitabschaltung gibt.

Key maxConcurrentSessions

Die maximale Zahl gleichzeitiger Sitzungen (=angeschlossene Clients). Ein negativer oder Nullwert (Standard) weist darauf hin, dass durch die Lizenz eine Obergrenze für die Anzahl gleichzeitiger Sitzungen festgelegt ist.

Node storage

–Node database

–Key host

Die IP-Adresse (oder der Hostname) mit dem sich mdm verbinden sollte, um Zugriff auf die mdm-Client-Datenbank zu erhalten (Standard: 127.0.0.1).

–Key port

Der Port, den mdm für den Zugriff auf die Datenbank verwenden sollte (Standard: 5432).

–Key name

Name der Datenbank (Standard: innomms).

–Key user

Benutzer der Datenbank (Standard: innomms).

–Key password

Das Passwort für die Verbindung mit der Datenbank (Standard: ENV:PASSWORD_DB). Der Sonderwert ENV:PASSWORD_DB veranlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Variable ENV:PASSWORD_DB zu lesen; die Bezeichnung ENV:PASSWORD_DB ist lediglich ein Beispiel und kann auch geändert werden.

–Key ssl

Sichere Verbindung zwischen mdm-Server und mdm-Client-Server aktivieren/deaktivieren. Hinweis: Für die Aktivierung dieser Option sind zusätzliche Installationsschritte erforderlich (Standard: false).

–Node update

–Node scheduler

Key tries

Die maximale Versuche für den Upload oder Export einer Gerätekonfiguration. Wenn dieses Maximum erreicht ist, stellt mdm alle Versuche zum Laden einer Konfiguration in das Gerät ein (Standard: 5).

Key timeout

Die maximale Anzahl an Sekunden, die vergehen, bis das Hochladen der Gerätekonfiguration abgebrochen wird. Nachdem die Zeitabschaltung erreicht ist, stellt mdm alle Versuche zum Laden einer Konfiguration in das Gerät ein (Standard: 600).

Key rescheduleDelay

Anzahl der Sekunden zwischen den Upload-Versuchen (Standard: 45).

–Node firmwareUpgradeScheduler

Key tries

Maximale Anzahl der Verbindungsversuche von mdm, um von einem Gerät eine Rückmeldung zum Ergebnis eines Firmware-Upgrades zu erhalten. Wenn dieses Maximum erreicht ist, stellt mdm alle Versuche zur Kontaktaufnahme mit dem Gerät ein (Standard: 5).

Key timeout

Maximale Anzahl der Sekunden die vergehen, bis mdm die Kontaktaufnahme zu einem Gerät für Rückmeldungen zum Ergebnis eines Firmware-Upgrades einstellt. Nach Erreichen der Zeitabschaltung zeigt mdm an, dass das Firmware-Upgrade fehlgeschlagen ist (Standard: 3600).

Key rescheduleDelay

Intervall in Sekunden zwischen zwei Versuchen, eine Rückmeldung zum Ergebnis eines Firmware-Upgrades zu erhalten (Standard: 300).

–Node ssh

Key connectTimeout

Zeitabschaltung für die erstmalige SSH-Verbindung zu einem Gerät (Standard: 60).

Key socketTimeout

Zeitabschaltung für die SSH-Verbindung TCP/IP-Buchse, z. B. Verbindung verloren (Standard: 120).

Key deadPeerDetectionTimeout

Diese Zeitabschaltung wird aktiviert, wenn ein Gerät nicht auf einen am Gerät gestarteten Befehl antwortet (Standard: 120).

–Node pull

Node export

Key directory

Das Basisverzeichnis für den Export auf dem Server, wohin die Konfigurationsdateien exportiert werden sollten (zum Beispiel um eine Konfiguration zu ziehen). Hinweis: Die Konfigurationsdateien werden immer durch den Server exportiert, nicht durch den Client, d. h. der Client hat auf die Dateien keinen Zugriff. Der angegebene Pfad zum Verzeichnis sollte das entsprechende Format für das jeweilige Betriebssystem aufweisen (Standard: voreingestelltes temporäres Verzeichnis Ihrer Installation, z. B. /tmp für Linux).

Key filenames

Eine durch Komma getrennte Liste von Benennungsschemen für Pull-Konfigurations-Exporte.

dbid: Eine eindeutige ID (automatisch zugewiesen) wird als Dateiname verwendet und die Dateien werden in das Basisverzeichnis der Exportdatei geschrieben.

serial: Die Seriennummer wird als Dateiname herangezogen und die Dateien werden in das Unterverzeichnis serial/ des Basisverzeichnisses für den Export geschrieben
mgntid: Die Management-ID wird als Dateiname verwendet und die Dateien werden in das Unterverzeichnis mgntid/ des Basisverzeichnisses für den Export geschrieben (Standard: dbid,serial,mgntid).

Node feedback

Key port

Die mGuards können ihre Konfigurationen von einem HTTPS-Server ziehen. Da es sich bei dem HTTPS-Server um eine separate Anwendung handelt, erhält mdm keine direkten Rückmeldungen zum Ergebnis des Konfigurations-Pulls (Configuration Pull). Um den Rückmeldemechanismus zu aktivieren, muss mdm in den HTTPS-Servereinstellungen als Syslog-Server konfiguriert werden. mdm kann dann die Syslog-Meldungen des HTTPS-Servers empfangen und analysieren und zeigt das Ergebnis des Konfigurations-Pulls am Client an.

Es wird empfohlen, einen nichtpriveligierten Port (größer 1024) zu verwenden, sodass der Server ohne Administrator-/Root-Rechte verwendet werden kann (Standard: 7514).

–Node nt

Dieser Knoten beinhaltet die Informationen zur Konfiguration, die für die Interaktion mit FL MGUARD 1000-Geräten notwendig sind.

Node python

Key path

Der Pfad, der zum auf dem System installierten Python 3.8 führt. Unter Linux ist das typischerweise nur “python“ oder e.g. “python3.8“, wenn eine andere Python version verwendet werden soll.

Node tools

Key initConverter

Erstellt die Datei "download_info.json", wenn der mdm-Server gestartet wird. Der Pfad zur Datei "create_download_info.py" muss an dieser Stelle angegeben werden.

Key downloadInfo

Enthält die relevanten Informationen für einen erfolgreichen GET-Request an das FL MGUARD 1000-Gerät via REST-Client. Der Pfad zur Datei "download_info.json" muss an dieser Stelle angegeben werden.

Key atv2json

Pfad zum Python-Skript "atv2json.py". Das Skript wird von mdm verwendet, um ATV-Profile der Firmware "mGuard NT x.y" in mit FL MGUARD 1000-Geräten kompatible JSON-Objekte zu konvertieren.

Key json2atv

Pfad zum Python-Skript "json2atv.py". Das Skript wird von mdm verwendet, um JSON-Objekte, die von FL MGUARD 1000-Geräten exportiert wurden, in ATV-Profile zu konvertieren, die mit der Firmware "mGuard NT x.y" kompatibel sind.

Key mgclient

Pfad zum Python-Skript "main.py". Das Skript wird verwendet, um JSON-Konfigurationsobjekte, die Geräten mit "mGuard NT x.y"-Firmware entsprechen, auf FL MGUARD 1000-Geräte hochzuladen.

Das Skript wird auch dazu verwendet, die aktuelle Konfiguration vom FL MGUARD 1000-Gerät mittels GET-Request in den mdm zu importieren.

Node auth

Node radius

–Key numServers

Setzen Sie diese auf die Anzahl der RADIUS-Server, um die RADIUS-Authentifizierung zu aktivieren. Weiterführende Informationen siehe  „Authentifizierung des Benutzers“ auf Seite 154. Wenn auf 0 gesetzt, ist die RADIUS-Authentifizierung deaktiviert (Stan­dard: 0).

–Key timeout

Die Anzahl der Sekunden, die der mdm-Server auf eine Antwort vom RADIUS-Server wartet. Wird nur verwendet, wenn die RADIUS-Authentifizierung aktiviert ist (Standard: 5).

–Key retries

Die Anzahl der vom mdm-Server versendeten Anfragen an die RADIUS-Server. Wenn innerhalb der festgelegten Zeit keine Antwort empfangen wurde, wird die Authentifizie­rungsanforderung als fehlgeschlagen gewertet. Wird nur verwendet, wenn die RA­DIUS-Authentifizierung aktiviert ist (Standard: 3).

–Key nasIdentifier

Die NAS-Benennung, die in den vom mdm-Server versendeten RADIUS-Anfragen ent­halten ist. Einige RADIUS-Server ignorieren dies, der Standardwert kann in diesem Fall unverändert bleiben (Standard: nas.identifier.example).

Node 0, 1, … (bis zur Anzahl der RADIUS-Server minus eins)

Jeder nummerierte Node steht für einen einzigen RADIUS-Server.

–Key host

Hostname oder IP-Adresse des RADIUS-Servers (Standard: localhost).

–Key port

Der Port, an dem der RADIUS-Server auf eingehende Anfragen horcht (Standard: 1812).

–Key sharedSecret

Der gemeinsame geheime Schlüssel zur Authentifizierung der RADIUS-Anfrage. Der gemeinsame geheime Schlüssel muss im RADIUS-Server konfiguriert werden (Stan­dard: secret).

Node locale

Länder- und sprachenspezifische Einstellungen.

Standards stehen lassen, da diese Einstellungen noch nicht voll unterstützt wer­den!

Key language
Key country
Key variant

Node logging

Node syslog

–Key numReceivers

Setzen Sie diesen Key auf die Anzahl der Syslog-Empfänger, zu denen mdm Protokoll­meldungen versendet. Wenn auf 0 gesetzt, ist die Protokollierung über Syslot deakti­viert (Standard: 1).

–Key logLevel

Der Mindestschweregrad der Meldungen für die Protokollierung über Syslog. Meldun­gen mit einem Schweregrad unterhalb des angegebenen Wertes werden unterdrückt (Standard: INFO).

Folgende Schweregrade können verwendet werden:

–SEVERE (höchster Schweregrad)

–WARNING

–INFO

–CONFIG

–FINE

–FINER

–FINEST (geringster Schweregrad)

–Node 0, 1, … (bis zur Anzahl der Syslog-Server minus eins)

Jeder nummerierte Node steht für einen einzigen Syslog-Server.

–Key host

Hostname oder IP-Adresse des Syslog-Servers (Standard: localhost).

–Key port

Der Port, an dem der Syslog-Server auf eingehende Protokollmeldungen horcht (Standard: 514).

Node configurationHistory

Key expireAfterDays

Einträge im Konfigurationsverlauf, die älter als die angegebene Anzahl Tage sind, gelten automatisch als abgelaufen (werden aus dem Verlauf gelöscht).

Wird der Wert 0 verwendet, laufen Einträge im Konfigurationsverlauf nicht ab (Standard: 14).

Der Höchstwert beträgt 365250 (1000 Jahre). Wenn der Wert < 0 oder > 365250 oder keine ganze Zahl ist, wird der Standardwert von 14 angenommen.

Genauere Informationen zu Einträgen im Konfigurationsverlauf finden Sie in „Konfigurati­onsverlauf“ auf Seite 165.

Node event

Key cleanupDays

Einträge im Persistent event log, die älter als die angegebene Anzahl Tage sind, gelten au­tomatisch als abgelaufen (werden aus dem Verlauf gelöscht).

Wird der Wert 0 verwendet, laufen Einträge im Persistent event log nicht ab (Standard: 200).

Der Höchstwert beträgt 365250 (1000 Jahre). Wenn der Wert < 0 oder > 365250 oder keine ganze Zahl ist, wird der Standardwert von 200 angenommen.

Genauere Informationen zu Einträgen im Persistent event log finden Sie in  „Persistent Event Log“ auf Seite 57.

Node CA

Diese Einstellungen werden nur benötigt, wenn eine CA verwendet wird.

Key type

Der Typ der zu verwendenden CA. Gültige Werte sind mdm-CA zur Verwendung der mdm CA oder SCEP für die Kommunikation mit einer CA über SCEP (Standard: mdm-CA). Wei­terführende Informationen zu SCEP siehe „Maschinenzertifikate“ auf Seite 155.

Key protocol

Das für die Verbindung mit der mdm CA verwendete Protokoll. Gültige Werte sind http oder https (Standard: https). Bei Verwendung der mdm CA sollte nur https verwendet werden, da die mdm CA sich für die Authentifizierung auf die Sicherheit der Transportschicht ver­lässt. SCEP enthält Mechanismen zur Authentifizierung der Anwendungsschicht, sodass mit SCEP normalerweise http verwendet wird.

Key host

Hostname oder IP-Adresse des CA-Servers (Standard: localhost).

Key port

Der Port, an dem der CA-Server auf eingehende Anfragen lauscht (Standard: 7070). Wird hier 0 angegeben, dann wird der Default-Port für https oder http verwendet.

Key requestDirectory

Der Pfad innerhalb der URL, den der mdm-Server für Zertifizierungsanfragen verwendet (Standard: request). Bei Verwendung der mdm CA muss request verwendet werden. Bei Verwendung von SCEP in der Dokumentation des CA-Servers nachschlagen. Wird bei­spielsweise der Microsoft Windows Server 2008 CA verwendet, sollte CertSrv/mscep/mscep.dll angegeben werden.

Key revocationDirectory

Der Pfad innerhalb der URL, den der mdm-Server für Zertifkatssperranfragen verwendet (Standard: revoke). Bei Verwendung der mdm CA muss revoke verwendet werden. Bei Ver­wendung von SCEP nicht anwendbar.

Key rsaKeySize

Größe des RSA-Modulus (in Bit), dass der mdm-Server zur Erstellung von RSA-Schlüssel­paaren verwendet (Standard: 2048).

Node SCEP

–Key name

Der in SCEP-Anfragen verwendete Name der Instanz (Standard: mdm). Hinweis: Ei­nige CAs ignorieren den Namen der Instanz, verlangen aber trotzdem einen nichtlee­ren Wert.

Node httpServer

Diese Einstellungen sind nur erforderlich, wenn der mdm-Server als RESTful Server gestar­tet werden soll.

Key start

RESTful-Services des mdm-Servers können aktiviert (Wert: true) oder deaktiviert (Wert: false) werden. Standardwert: false.

Key address

Der Hostname oder die IP-Adresse, auf die der mdm RESTful-Server auf eingehende An­fragen lauscht (Standard: 127.0.0.1).

Wenn Sie 0.0.0.0 angeben, lauscht der mdm RESTful-Server auf alle Schnittstellen.

Key port 

Der Port, auf dem der mdm RESTful-Server auf eingehende Anfragen lauscht (Standard: 7080).

10.2mdm Zertifizierungsstelle (CA)

mdm stellt eine eigene Zertifizierungsstelle (CA) zur Verfügung. Die mdm CA ist eine sepa­rate Serverinstanz. Über die CA werden Maschinenzertifikate für den mGuard ausgegeben, zum Beispiel für die Verwendung von X.509-Authentifizierung für Ihre VPN-Tunnel. Infor­mationen zur Anforderung von Zertifikaten für einen mGuard über die CA finden Sie in  „VPN-Verbindungen konfigurieren“ auf Seite 140 und  „X.509-Zertifikate verwalten“ auf Seite 155.

Wenn Sie die VPN-Tunnel nicht mit mdm konfigurieren oder wenn Sie Ihre eigene CA bzw. voreingestellte Schlüssel (PSK) verwenden möchten, wird die mdm CA nicht benötigt.

10.2.1Übersicht

Die mdm CA dient der Ausgabe von Zertifikaten, die vom mdm-Server für die Verwendung als Maschinenzertifikate für mGuards angefordert werden.

Die mdm CA wird als eigenständiger Server implementiert. Dessen Schnittstelle mit dem mdm-Server ist ein servletbetriebener Webserver (HTTP), der mit SSL (HTTPS) gesichert werden und eine Authentifizierung des Clients erzwingen kann. Vor allem in Produktions­umgebungen empfiehlt Phoenix Contact nachdrücklich die Verwendung von HTTPS mit Client-Authentifizierung, da nur so gewährleistet ist, dass die mdm CA Zertifikate nur an au­thentifizierte Clients ausstellt.

Die Konfigurationsdatei des mdm CA-Servers ermöglicht die Konfiguration verschiedener Schlüsselspeicher (Isolation) für die Ausstellung von Zertifikaten (CA-Schlüsselspeicher) und für die SSL-Authentifizierung (SSL-Schlüsselspeicher, SSL-Truststore). Auf diese Weise ist gewährleistet, dass der private Schlüssel der CA (der zur Ausgabe von Maschi­nenzertifikaten vorgesehen ist) nicht versehentlich für die SSL-Authentifizierung benutzt wird.

Die mdm CA speichert alle benötigten Informationen in einer mdm-Client-Datenbank. Die Kommunikation zwischen der mdm CA und der Datenbank sollte ebenfalls über SSL abge­sichert werden.

Alle benötigten Schlüssel zur Absicherung der Kommunikation zwischen mdm CA, mdm Server und der Datenbank müssen angelegt, im Dateisystem installiert und in der Datei ca-preferences.xml der CA-Komponente und auch in der Datei preferences.xml auf dem mdm-Server konfiguriert werden.

Für die Ausstellung und Verwaltung von Schlüsseln und Zertifikaten gibt es zahlreiche Werkzeuge. Im vorliegenden Dokument wird die Verwendung von OpenSSL -Werkzeugen beschrieben, die für Linux und Windows zur Verfügung stehen (z. B. als eigenständige Binary oder als Teil des cygwin-Pakets). Die Werkzeuge zur Erstellung von Zertifikaten, Schlüsseln und Schlüsselspeichern brauche nicht auf dem Zielsystem der mdm CA instal­liert zu werden.

10.2.2mdm CA-Server (Datei ca-preferences.xml)

In diesem Kapitel wird der Inhalt der Konfigurationsdatei ca-preferences.xml beschrieben. Passen Sie die ca-preferences.xml ggf. an Ihre Umgebung an.

Node certificateFactory

Key validityPeriodDays

Anzahl der Tage, an denen durch die mdm CA ausgegebene Zertifikate gültig sind (d. h. jedes Zertifikat ist für die angegebene Anzahl Tage gültig, beginnend am Tag der Ausgabe).

Key certTemplate

Name und Pfad einer Zertifikatdatei, die als Vorlage für neue VPN-Zertifikate der mdm CA verwendet werden soll.

Key keyStore

Name und Pfad der Schlüsselspeicherdatei (siehe Kapitel 10.2).

Key keyStoreType

Format des Schlüsselspeichers, entweder JKS (Java KeyStore) oder PKCS12 (OpenSSL).

Key keyStorePassword

Passwort für die Schlüsselspeicherdatei (siehe Kapitel 10.2). Der Sonderwert ENV:PASSWORD_CA veranlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Variable PASSWORD_CA zu lesen; die Bezeichnung PASSWORD_CA ist lediglich ein Beispiel und kann auch geändert werden.

Key keyAlias

Name des Eintrags im Schlüsselspeicher, in dem der private Schlüssel und das damit ver­bundene öffentliche Schlüsselzertifikat zu finden sind (der Schlüsselspeicher kann mehr als einen Eintrag enthalten) – der Standardeintrag passt zu dem aus den in Kapitel 10.2.2 be­schriebenen Beispielskripten. Mit dem folgenden Befehl können die Alias-Namen in einer .p12-Datei gefunden werden:

openssl pkcs12 -in <filename>.p12 -nodes

Der Alias wird in der Ausgabe als Friendly Name dargestellt.

Mit dem folgenden Befehl können die Alias-Namen in einer JKS-Datei gefunden werden:

keytool -list <filename>

Key keyPassword

Passwort zur Dekodierung des im Schlüsselspeicher enthaltenen privaten RSA-Schlüssels (siehe Eintrag keyAlias), der Sonderwert ENV:PASSWORD_CA veranlasst die mdm CA, beim Hochfahren dieses Passwort von der Environment Variable PASSWORD_CA zu le­sen; die Bezeichnung PASSWORD_CA ist lediglich ein Beispiel und kann auch geändert werden.

Key crlExportDirectory

Der Pfad zu dem Verzeichnis, das von der mdm CA für den Export der Dateien mit CRLs (Zertifikatssperrlisten) verwendet wird. Jede Datei enthält eine mit PEM codierte X.509 CRL der gesperrten Zertifikate einer einzigen Ausgabestelle. Der Name jeder CRL-Datei besteht aus dem Hashwert der Ausgabestelle mit einer crl-Erweiterung, z. B. 5E84D566026616ED32169580A913661499FA6B03.crl. Achten Sie darauf, dass auf die in diesem Verzeichnis gespeicherten Dateien von den mGuards aus zugegriffen werden kann. Navigieren Sie zur Konfiguration der CRL URL am mGuard im Device oder Template properties Ddialog (Geräte- oder Template-Eigenschaften) zu Authentication » Certificates » CRLs (nur mGuard ab Version 5.0) und fügen Sie in die CRL-Tabelle die korrekte URL ein. Weiterführende Informationen zum Sperren von Zertifikaten finden Sie in Kapitel 7.4.1 (Standard: security/crl).

Key crlUpdatePeriodMinutes

Zeitintervall für den Export der CRLs zum crlExportDirectory in Minuten. Bei Sperrung eines Zertifikats wird sofort eine CRL exportiert. Darüber hinaus werden CRLs regelmäßig ent­sprechend dem angegebenen Zeitintervalle exportiert.

Key nextUpdatePeriodDays

Die im Feld Next Update in exportierte CRLs eingetragene Anzahl der verbleibenden Tage. Dieses Feld teilt dem mGuard, der die CRL herunterlädt, mit, wann diese als veraltet zu be­trachten ist. Sie sollte daher deutlich höher sein als crlUpdatePeriodMinutes (beachten, dass crlUpdatePeriodMinutes in Minuten und nextUpdatePeriodDays in Tagen angegeben wird).

Node storage

–Node database

–Key host

Die IP-Adresse (oder der Hostname), mit der/m sich die mdm CA verbinden sollte, um Zugriff auf die mdm-Client-Datenbank zu erhalten (Standard: 127.0.0.1).

–Key port

Der Port, den die CA mdm für den Zugriff auf die Datenbank verwenden sollte (Standard: 5432).

–Key name

Name der Datenbank (Standard: mdmca).

–Key user

Benutzer der Datenbank (Standard: mdmca).

–Key password

Das Passwort für die Verbindung mit der Datenbank. Der Standardwert ENV:PASSWORD_DB veranlasst den mdm CA-Server, beim Hochfahren dieses Passwort von der Environment Variable ENV:PASSWORD_DB zu lesen; die Bezeichnung ENV:PASSWORD_DB ist lediglich ein Beispiel und kann auch geändert werden.

–Key ssl

Sichere Verbindung zwischen mdm CA und mdm-Client-Server aktivieren/deaktivieren. Für die Aktivierung sicherer Verbindungen den Wert true verwenden.

–Key logLevel

Nur für interne Verwendung. Diesen Wert nicht ändern (Standard: 0).

–Node security

Key trustStore

Name und Pfad der Truststore-Datei, die das vertrauenswürdige Zertifikat des Datenbankservers enthält.

Key trustStoreType

Format des Truststores, entweder JKS (Java KeyStore) oder PKCS12 (OpenSSL).

Key trustStorePassword

Passwort für die Truststore-Datei (siehe Kapitel 10.2). Der Sonderwert ENV:PASSWORD_SSL veranlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Variable PASSWORD_SSL zu lesen; die Bezeichnung PASSWORD_SSL ist lediglich ein Beispiel und kann auch geändert werden.

Node certificationRequestHandler

Key maxRequestLength

Anzahl der Bytes, die Zertifikatanfragen PKCS#10 höchstens haben dürfen; werden zur Verteidigung gegen einfache DoS-Angriffe abgewiesen (Standard: 102400).

Node revocationRequestHandler

Key maxRequestLength

Anzahl der Bytes, die Sperranfragen maximal haben dürfen; werden zur Verteidigung gegen einfache DoS-Angriffe abgewiesen (Standard: 10240).

Node httpServer

Key host

IP-Adressen oder Hostnamen der Ports, an denen mit der Servlet-Schnittstelle der CA ge­horcht wird; Wert 0.0.0.0 bedeutet Horchen an jedem Port (Standard: 127.0.0.1).

Key port

Die Nummer des Ports, an dem der Server auf ankommende Verbindung horchen soll (Standard: 7070).

Key minThreads

Mindestanzahl der instanziierten HTTP-Serverthreads, die die mdm CA in ihrem Pool hal­ten kann (Standard: 2).

Key lowThreads

Nur für interne Verwendung. Nicht ändern.

Key maxThreads

Höchstzahl der instanziierten HTTP-Serverthreads, die die mdm CA in ihrem Pool halten kann (Standard: 5).

Key protocol

Das von der Servlet-Schnittstelle der mdm CA zu verwendende Protokoll, entweder http oder https. Um eine sichere Kommunikation zu ermöglichen sollte https verwendet werden.

Node https

Die Konfiguration in diesem Node wird nur verwendet, wenn das Protokoll im Node httpSer­ver https ist.

–Key keyStore

Name und Pfad der Schlüsselspeicherdatei.

–Key keyStoreType

Format des Schlüsselspeichers, entweder JKS (Java KeyStore) oder PKCS12 (OpenSSL).

–Key keyStorePassword

Passwort für die Schlüsselspeicherdatei. Der Sonderwert ENV:PASSWORD_SSL ver­anlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Va­riable PASSWORD_SSL zu lesen; die Bezeichnung PASSWORD_SSL ist lediglich ein Beispiel und kann auch geändert werden.

–Key keyPassword

Das zum Dekodieren des privaten SSL-Schlüssels im Schlüsselspeicher für den HTTPS-Server verwendete Passwort.

–Key clientAuth

Boolescher Wert, true bedeutet, dass sich die Clients ebenfalls (nicht nur der Server) über SSL authentifizieren müssen, false bedeutet, dass die Clients sich nicht zu au­thentifizieren brauchen. Dieser Wert sollte auf true gesetzt sein.

–Key trustStore

Name und Pfad der Truststore-Datei, die vertrauenswürdige Zertifikate für die SSL-Verbindung von den Clients enthält.

–Key trustStoreType

Format des Truststores, entweder JKS (Java KeyStore) oder PKCS12 (OpenSSL).

–Key trustStorePassword

Passwort für die Truststore-Datei (siehe Kapitel 10.2). Der Sonderwert ENV:PASSWORD_SSL veranlasst den mdm-Server, beim Hochfahren dieses Passwort von der Environment Variable PASSWORD_SSL zu lesen; die Bezeichnung PASSWORD_SSL ist lediglich ein Beispiel und kann auch geändert werden.

Node logging

Key file

Der Basisname der von der mdm CA erstellten rotierten Protokolldatei, der Dateiname kann mit einer relativen oder absoluten Pfadbezeichnung verwendet werden. Das Suffix n.log wird an den Basisnamen angefügt, wobei n für einen nicht-negativen Integer steht.

Key limit

Maximale Anzahl an Bytes, die eine Log-Datei der mdm CA erreichen kann. Wenn sie über diese Zahl hinauswächst, wird sie rotiert.

Key count

Maximale Anzahl rotierter Log-Dateien, die die mdm CA halten kann.

Key level

Definiert die Granularität der Protokollmeldungen, die die mdm CA produzieren kann. Ak­zeptable Werte sind:

–OFF

–SEVERE (höchster Wert)

–WARNING

–INFO

–CONFIG

–FINE

–FINER

–FINEST (niedrigster Wert)

–ALL