Histórico da Página
| Informações | ||
|---|---|---|
| ||
Esta página foi revisada para considerar as novas configurações de server do fluig para a TOTVS Fluig Plataforma a partir da atualização 1.6. Caso possua uma atualização anterior do fluig acesse: Configuração de Níveis de Segurança no HTTPS das versões 1.5.13 e anteriores. |
Índice
| Índice | ||||||||
|---|---|---|---|---|---|---|---|---|
|
...
O objetivo deste artigo é descrever os procedimentos necessários para definir o nível de segurança aplicado ao protocolo SSL/TLS em ambientes fluig que possuem o HTTPS habilitado.
...
Para que se tenha uma compreensão completa destas informações, alguns conhecimentos são considerados pré-requisitos, entre eles:
- Visão geral sobre o fluiga plataforma TOTVS Fluig
- Visão geral sobre níveis de segurança e certificado digital
Além disso, é necessário acesso ao servidor onde o fluig está instaladoa plataforma está instalada.
Níveis de Segurança
...
O mercado adota como padrão para definir os níveis de segurança para o protocolo SSL/TLS níveis de compatibilidade, que são uma combinação dos Ciphersuite, versões do protocolo SSL/TLS, tamanho da chave RSA, assinatura do certificado, entre outros. Esses níveis de compatibilidade são divididos entre compatibilidade Moderna, Intermediária e Antiga, e podem ser observados no site de boas práticas para SSL/TLS mantido pela Mozilla.
| Nota | ||
|---|---|---|
| ||
O nível de segurança aplicado ao HTTPS no fluig na plataforma irá definir sua compatibilidade com navegadores (ex. IE, Chrome, Safari, Firefox) e executáveis (ex. Java). Navegadores e executáveis mais antigos podem apresentar falhas de comunicação com o fluig em a plataforma em virtude dos mesmos não suportarem todas as implementações de segurança modernas para realizar a comunicação. |
...
Para garantir um alto nível de segurança nas configurações HTTPS do fluigda plataforma, iremos apresentar alguns cenários com configurações utilizando a compatibilidade Moderna descrito no guia de segurança mantido pela Mozilla para o protocolo SSL/TLS.
HTTPS
...
na plataforma
...
No cenário abaixo, toda a configuração HTTPS é realizada diretamente no fluigna plataforma.
| Dica | ||
|---|---|---|
| ||
Você também pode conferir se sua configuração HTTPS está funcionando corretamente, através da ferramenta: https://www.sslshopper.com/ssl-checker.html |
| Informações | ||
|---|---|---|
| ||
Todas as configurações abaixo devem ser realizadas com o fluig a plataforma fora do ar. |
Abaixo seguem as alterações que devem ser realizadas no arquivo de configuração ([Instalação fluigdiretório_instalação]/appserver/domain/configuration/domain.xml) do fluig para habilitar a compatibilidade Moderna.
...
Abaixo seguem as alterações que devem ser realizadas no arquivo de configuração ([Instalação fluigdiretório_instalação]/appserver/bin/domain.conf.bat para Windows ou [Instalação fluigdiretório_instalação]/appserver/bin/domain.conf para Linux) do fluig para habilitar a compatibilidade Moderna.
...
Também é necessário instalar e habilitar o Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files junto ao fluigà plataforma, que permite a utilização de Ciphersuites mais modernos e avançados na plataforma.
A instalação do mesmo consiste em remover os arquivos ${fluig-dir}/jdk-64/jre/lib/security/local_policy.jar e ${fluig-dir}/jdk-64/jre/lib/security/US_export_policy.jar do diretório do fluigda plataforma, e descompactar os arquivos do JCE no diretório ${fluig-dir}/jdk-64/jre/lib/security.
| Informações | ||
|---|---|---|
| ||
A porta do HTTPS no fluig na plataforma também pode ser alterada para 443, porta padrão do HTTPS que permite o acesso ao endereço sem a necessidade de informar uma porta de acesso, apenas o protocolo https://. |
Abaixo seguem as alterações que devem ser realizadas no arquivo de configuração (domain.xml) do fluig para da plataforma para mudar a porta para 443.
| Bloco de código | ||
|---|---|---|
| ||
<socket-binding-group name="standard-sockets" default-interface="public" port-offset="${jboss.socket.binding.port-offset:0}">
...
<socket-binding name="https" port="443"/>
...
</socket-binding-group> |
...
No cenário abaixo, toda a configuração HTTPS é realizada no Apache. Este é o cenário quando o fluig é configurado a plataforma é configurada através de um proxy reverso.
Abaixo seguem as alterações que devem ser realizadas no arquivo de configuração (geralmente fluig.conf) do fluig da plataforma no Apache para habilitar a compatibilidade Moderna.
...
Nestes casos em que o SSL é configurado em um balanceador, é necessário incluir a propriedade proxy-address-forwarding na configuração do fluigda plataforma, no arquivo domain.xml. A configuração será diferenciada, caso o ambiente esteja configurado para utilizar o fluig Mobile, conforme abaixo:
| Deck of Cards | ||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||
|
...
| Nota | ||
|---|---|---|
| ||
Para a realização desse teste será mandatório que o fluig a plataforma esteja disponível para acesso através da internet. |
...
Visão Geral
Import HTML Content
Conteúdo das Ferramentas
Tarefas