Certificaat gebruiken voor interne communicatie

Certificaat gebruiken voor interne communicatie

In sommige gevallen staat de agent bij de klant op een andere server dan de proxy (zoals IIX of NginX). Dit betekend dat het verkeer van buitenaf eerst naar de proxy gaat om vervolgens intern naar een andere server gerouteerd te worden. Het is mogelijk om dit interne verkeer te versleutelen met een certificaat. Je kunt deze versleuteling als volgt aanzetten:
  1. Bij het starten van de agent via salureconnect-agent.exe geef je parameters mee. Voeg de parameter --ssl true toe om versleuteling af te dwingen. Je kunt (dat hoeft niet) ook de poort wijzigen naar bijv. 443. Dit ziet er als volgt uit: `salureconnect-agent.exe --ssl true --port 443`
  2. Wanneer SSL is afgedwongen, heeft de agent een certificaat nodig om verkeer daadwerkelijk te kunnen versleutelen. Zorg ervoor dat je een certificaat en een sleutelbestand in een folder hebt staan op de server waar de agent draait. Bijvoorbeeld in de map certs. De certificaten dienen als volgt te zijn benoemd:
    1. salureconnect_agent_cert.pem
    2. salureconnect_agent_key.pem
  3. Nadat je de certificaten in de map hebt geplaatst, voeg je de volgende parameter toe: --certfolder <folder certificaten>. Stel dat je de certificaten op c:\agent\certs hebt geplaatst, dan wordt de parameter `--certfolder c:\agent\certs`. In combinatie met de vorige parameter ziet het geheel er nu als volgt uit: `salureconnect-agent.exe --ssl true --certfolder c:\agent\certs --port 443`
Let op, als je de ssl parameter gebruikt, is de certfolder parameter verplicht. 

Certificaat aanmaken

Een certificaat aanmaken is op velerlei manieren te doen. Hieronder volgt een manier waarop dit zou kunnen. 
  1. Installeren chocolatey als het nog niet geïnstalleerd is: zie https://docs.chocolatey.org/en-us/choco/setup
  2. Installeer mkcert als u het nog niet geïnstalleerd hebt:
    1. open **Windows Terminal** of **Windows PowerShell** als administrator en voer `choco install mkcert` uit
    2. voer `mkcert -install` uit 
  3. Voor de volgende stap moet je geduld hebben. Als het er bevroren uitziet, duurt het gewoon even:
  4. run `mkcert -key-file salureconnect_agent_key.pem -cert-file salureconnect_agent_cert.pem localhost 127.0.0.1 0.0.0.0 ::1`
  5. run `kopieer salureconnect_agent_*.pem C:\data_analytics}alureconnect_agent.pem`.
  6. De volgende stap is optioneel als het root-certificaat verlopen is (moet nog 10 jaar geldig zijn):
  7. voer uit `kopieer "C:\Users$env:UserNameAppData\LokaalmkcertwortelCA.pem" "C:\data_analytics_alureconnect_agent_ertswortelCA.pem"`.
  8. Stuur nu dit rootcertificaat naar de client, zij moeten dit certificaat installeren in hun certificate store.
Instructies voor windows server hoe dit te doen:
  1. Open "Manage computer certificates", klik met de rechtermuisknop op "Trusted Root Certification Authorities" en kies "All tasks" -> "Import" -> "Next" -> "Browse" -> Selecteer rootCA.pem -> "Next" -> "Finish").
  2. Start de browser opnieuw op en controleer of https://localhost:7070:salureconnect-agent bereikbaar is (agent moet actief zijn).
  3. Voer de agent nu uit met de optie --ssl true om SSL in te schakelen.

    • Related Articles

    • Organigram inrichten voor autorisatie

      Het organigram bepaalt wat gebruikers zien in de dashboards. Dit artikel beschrijft hoe het organigram ingericht kan worden en hoe gebruikers hieraan gekoppeld kunnen worden. Bronsystemen inladen In de meeste organisaties worden meerdere ...

    • Beveiliging

      De agent van SalureConnect is een webserver zonder front-end. Dit betekent dat beveiligingsproblemen zoals CORS, XSS, CSRF enz. niet van toepassing zijn. De belangrijkste beveiligingskwesties zijn authenticatie, encryptie en rate-limiting. ...

    • Introductie

      Veel organisaties hanteren het informatie architectuurprincipe dat één gegevensbron leidend is. Om dit principe te realiseren is een interface ontwikkeld die gegevens uitwisselt tussen de diverse applicaties. Voor de uitwisseling van gegevens wordt ...

    • Requirements en installatie

      Om de agent correct te laten werken, zijn de volgende instellingen nodig. Hard- en softwarevereisten Windows Server 2012 64 bit of 2016 64 bit met 8 GB Ram, minimaal 2 CPU cores met 2.40 GhZ, 150 GB harde schijf; Verbinding met het internet ...

    • Voorbeeld configuratie NginX

      De volgende configuratie is een minimale configuratie in NginX voor het gebruik van de Agent. Natuurlijk kan deze configuratie worden uitgebreid en verdeeld over meerdere conf-bestanden. worker_processes  1; events {       worker_connections  1024; } ...