mySORBA.Connect / DMZ / SSL für mySORBA

Der mySORBA.Connect Service ermöglicht auf einfache Weise DMZ-Installationen und erleichtert ebenfalls die Einrichtung von Https / SSL für den mySORBA Restservice (Workspace) und mySORBA Webservice (Apps).

Wichtige Informationen - Lies mich!

Bei mySORBA.Connect unterscheiden wir grundsätzlich folgende vier Einsatzmöglichkeiten:

1. DMZ Server - mySORBA Server (inkl. Daten) sind NICHT direkt mit dem Internet verbunden.
Diese Einrichtungsart wird für Umgebungen verwendet, bei denen man nicht möchte, dass der Server mit den SorbaDaten direkt im Internet steht.
Siehe folgende Erklärungsgrafik:

mySORBA.Connect ersetzt die mySORBA DMZ mit Apache!

2. Service um mySORBA mit SSL - HTTPs zu verwenden.
Diese Einrichtungsart unterscheidet sich zum DMZ Server soweit, dass das mySORBA.Connect direkt auf demselben Server läuft wo auch die SorbaDaten liegen und die mySORBA Services laufen.

3. Konfigurationstool um Webservice auf SSL zu konfigurieren
Natürlich könnte man dies auch über die "alte" Methode noch immer lösen, das Tool mySORBA.Connect löst dies aber einiges komfortabler. Das Tool lässt sich dafür auch auf Workspace 2017 verwenden.

4. Tool für Terminalserver mit Loadbalancing (Roaming Bentzerverzeichnis).
Dies wird in folgendem Artikel erklärt: mySORBA.Connect für Terminalserver mit Loadbalancing (Roaming Benutzerverzeichnis).

mySORBA.Connect als DMZ installieren und Konfigurieren (mit / ohne SSL - HTTPs)

Benötigt wird von mySORBA nur die EXE "mySORBA.Connect", welche in einer aktuellen mySORBA Server Installation mitgeliefert wird.
Eine DMZ-Installation ist nach folgendem Muster aufgebaut:

1. Server-PC auf welchem das Tool mySORBA.Connect installiert und Konfiguriert wird.
   mySORBA Workspace und Mobile-Devices verbinden sich mit diesem Server.
2. Server-PC auf welchem die mySORBA Services (qsrvc64.exe, dblibsrv64.exe, dblibwebsrvc64.exe) laufen und die SorbaDaten liegen.
3. Client-PC's auf welchem das mySORBA Workspace läuft / Mobile-Devices auf welchen die Apps laufen.

Auf einer korrekt eingerichteten DMZ-Umgebung läuft auf dem Server auf welchem mySORBA.Connect installiert und konfiguriert ist, nichts von SORBA und da liegen auch keine Daten!
Bei einer solchen Einrichtung geht es darum, dass zwischen dem Daten-Server und dem Internet noch eine Sicherheit liegt.
Möchte man einfach den mySORBA Server mit SSL betreiben ohne DMZ, siehe Punkt mySORBA.Connect  konfigurieren für mySORBA Workspace mit SSL - HTTPs OHNE DMZ.

Vorgehen bei einer DMZ-Installation (mit / ohne SSL - HTTPs)

1. mySORBA Server aufsetzen inkl. mySORBA Benutzer Verknüpfungen.

2. mySORBA.Connect auf dem DMZ Server installieren und konfigurieren

2.1. Das Programm mySORBA.Connect vom aktuellen Setup kopieren: 
- <Installationsverzeichnis>\mySORBA.Connect.exe
- <Installationsverzeichnis>\mySORBA.Connect.exe.config
- kompletter Unterordner <Installationsverzeichnis>\mysc

2.2. Verknüpfung zu der mySORBA.Connect.exe /Config erstellen. Zum Beispiel  "C:\SORBA\mySORBA.Connect.exe /Config".

2.3. mySORBA.Connect über die erstellte Verknüpfung (als Administrator) starten, damit das Konfigurationsfenster erscheint:

Register "Relay/Forward-Service"
In diesem Register wird der DMZ-Dienst gesteuert.
Lauschende Ports
Auf diesen Ports "hört" der mySORBA.Connect Service. Anders als beim mySORBA Server geht hier der Rest-Service und Web-Service über denselben Port.
Dies muss man schlussendlich dementsprechend in der mySORBA Konfiguration nachtragen, siehe Punkt 3.
Hinweis
Der mySORBA Webservice (dblibwebsrvc64.exe) läuft automatisch auf Port 443 für SSL, selbst wenn nichts konfiguriert wurde. Wenn mySORBA.Connect auf 443 auf demselben Server wo der Webservice läuft laufen soll, muss zwingend der mySORBA Webservice auf einen anderen SSL-Port konfiguriert werden, selbst wenn dieser nicht benötigt wird.
Es ist nicht möglich die SSL-Funktion auf dem Webservice grundsätzlich abzuschalten.

Weiterleitung auf
An diesen Server leitet der DMZ-Server weiter. Auf dem da angegebenen Server ist der mySORBA Server installiert und da laufen auch die SORBA Dienste.
Hostname -> Verbindung zum mySORBA Server.
DblibServer Port -> auf diesem Port läuft der mySORBA Rest-Service (Datenbankdienst).
DblibWebSrvc Port -> Auf diesem Port läuft der mySORBA Web-Service (Apps).

Zertifikate
In diesem Bereich kann ein Kunden-Zertifikat installiert werden und / oder entsprechend auf den lauschenden Https-Port gebunden werden.
Quelle - Aus Windows-Zertifikatspeicher (Thumbprint)
Fingerabdruck - Bestimmen... -> Wenn das benötigte Zertifikat bereits installiert ist, kann es hiermit angewählt werden. Das Feld "Fingerabdruck" wird danach automatisch ausgefüllt.
Zertifikat-Installieren -> Hier wird ein Kunden-Zertifikat auf dem DMZ-Server installiert. Man benötigt das Zertifikat im PFX-Format und das entsprechende Passwort vom Private Key.
Quelle - Aus Datei (pfx) - statisch
Beim Start des Dienstes wird das Zertifikat des angegebenen Pfades geladen, das Passwort gemäss Passwortfeld verwendet. Ein aktualisiertes Zertifikat wird erst geladen, wenn der mySORBA.Connect-Service neugestartet wird.
Diese Option geht nur bei Zertifikate mit Passwort.
Quelle - Aus Ordner mit automatischer rotation
Vom angegebenen Verzeichnis wird automatisch fortlaufend geprüft welches das aktuell gültige Zertifikat ist und spätestens nach 60 Sekunden geladen. Das Passwort wird gemäss Passwortfeld verwendet.

Passwort
Das hier gesetzte Passwort wird für das laden des Zertifikates gemäss Pfad verwendet.

Control

Testen - Startet den DMZ-Dienst ohne ihn zu Installieren. Konfiguration gemäss Register "Relay/Forward-Service".
Service Installieren - mySORBA.Connect wird als Windows-Dienst installiert.
Service löschen - mySORBA.Connect Windows-Dienst-Eintrag wird gelöscht.
Service stoppen - mySORBA.Connect Windows-Dienst wird gestoppt.
Service starten - mySORBA.Connect Windows-Dienst wird gestartet (bei gestartetem Dienst werden die Konfigurationsfelder deaktiviert).

Security
Authentifizierter Zugriff ab, diese Option darf erst bei Versionen ab 26.1.138 aktiviert werden.
Dies ist eine Sicherheitsanpassung die in die Kommunikationsart eingebaut wurde.

2.4. unter Register "Relay/Forward-Service" Lauschende Ports gemäss Wunsch einstellen, diese Ports sind wichtig für die mySORBA Konfiguration.

2.5. Weiterleitung auf - Daten entsprechend einstellen, hier als Gegentest den Ping-Test entsprechend machen um Fehler auszuschliessen.

-> Möchte man keine SSL - HTTPs Verbindung einrichten, kann man Punkt 2.6. - 2.7. überspringen.

2.6. Zertifikat anhand einer der 3 möglichen Optionen für den mySORBA.Connect zuweisen.
Darauf achten, dass ein Zertifikat ausgewählt wird, welches auf die DNS lautet und auch Gültig ist.
Siehe im Beispiel über Windows-Zertifikatsspeicher:

Sollte der Dialog für das Auswählen vom Zertifikat nicht erscheinen, muss man eventuell zuerst den Dienst installieren -> Siehe Register "Controller".

2.7. Unter Register "Controller" den mySORBA.Connect Service installieren / oder wenn er bereits installiert ist mit "Service stoppen" und "Service starten" die Änderungen übernehmen.

2.8. Unter den Windows Diensten kontrollieren ob der Dienst "mySORBA.Connect" läuft und den Ping-Test diesmal über die DMZ-Server-Adresse machen.
So erkennt man ob die SSL - Https Verbindung funktioniert:

Ping-Test im Browser mit Https-Verbindungsdaten ausführen und über die Browser-Prüffunktionen anzeigen, ob die Verbindung sicher ist.

Logging

Optional zu aktivieren, wenn man Schwierigkeiten mit dem Dienst hat und für den Support mehr Informationen benötigt.
Die Logdatei wird unter dem <Service-Installationsverzeichnis>/mysc abgelegt.

Dashboard-Monitor
Dies ist eine Spezialfunktion, welche nur auf dem SORBA-ASP-System zum Einsatz kommt.

3. mySORBA Konfiguration im SINFO auf den DMZ-Server umstellen.

Anders als bei einer "normalen" mySORBA Installation wird in diesem Fall für den DblibWebSrvc und DblibServer derselbe Port verwendet.
Speziell ist hier, dass man für die Apps und das mySORBA Workspace dieselben Verbindungsdaten verwenden kann. mySORBA.Connect regelt dies automatisch.
Dass man dies so einstellen kann, muss der Haken für "DMZ / mySORBA.Connect" gesetzt sein:

mySORBA.Connect  konfigurieren für mySORBA Workspace mit SSL - HTTPs OHNE DMZ (Reverse Proxy)

mySORBA selber kann kein SSL / HTTPs, deshalb muss das Tool mySORBA.Connect verwendet werden. Es ist aber deswegen nicht zwingend notwendig eine DMZ-Einrichtung zu erstellen.
Dazu reicht es das mySORBA.Connect auf dem mySORBA Server entsprechend zu konfigurieren und die mySORBA Verbindungsdaten anzupassen.

mySORBA.Connect wird automatisch mit einer neuen mySORBA Server Setup Version ausgeliefert.

1. mySORBA.Connect über den mySORBA Server (ab Version 19.1 unter Controller-Einstellungen -> mySORBA.Connect) oder als Administrator über Ausführen starten: "c:\sorba\mySORBA.Connect.exe /config"

2. Register "Controller" -> "Service Installieren", dies Installiert den Dienst "mySORBA.Connect".

3. Register "Relay/Forward-Service" -> "Lauschende Ports" und "Weiterleitung auf" entsprechend konfigurieren:

Lauschende Ports
Auf diesen Ports "hört" der mySORBA.Connect Service. Anders als beim mySORBA Server geht hier der Rest-Service und Web-Service über denselben Port.
Dies muss man schlussendlich dementsprechend in der mySORBA Konfiguration nachtragen, siehe Punkt 5.
Hinweis
Der mySORBA Webservice (dblibwebsrvc64.exe) läuft automatisch auf Port 443 für SSL, selbst wenn nichts konfiguriert wurde. Wenn mySORBA.Connect auf 443 auf demselben Server wo der Webservice läuft laufen soll, muss zwingend der mySORBA Webservice auf einen anderen SSL-Port konfiguriert werden, selbst wenn dieser nicht benötigt wird.
Es ist nicht möglich die SSL-Funktion auf dem Webservice grundsätzlich abzuschalten.

Weiterleitung auf
Hier muss die Verbindung zum aktuellen mySORBA Server eingegeben werden.
Hostname -> Verbindung zum mySORBA Server.
DblibServer Port -> auf diesem Port läuft der mySORBA Rest-Service (Datenbankdienst).
DblibWebSrvc Port -> Auf diesem Port läuft der mySORBA Web-Service (Apps).

Zertifikate
In diesem Bereich kann ein Kunden-Zertifikat installiert werden und / oder entsprechend auf den lauschenden Https-Port gebunden werden.
Quelle - Aus Windows-Zertifikatspeicher (Thumbprint)
Fingerabdruck - Bestimmen... -> Wenn das benötigte Zertifikat bereits installiert ist, kann es hiermit angewählt werden. Das Feld "Fingerabdruck" wird danach automatisch ausgefüllt.
Zertifikat-Installieren -> Hier wird ein Kunden-Zertifikat auf dem DMZ-Server installiert. Man benötigt das Zertifikat im PFX-Format und das entsprechende Passwort vom Private Key.
Quelle - Aus Datei (pfx) - statisch
Beim Start des Dienstes wird das Zertifikat des angegebenen Pfades geladen, das Passwort gemäss Passwortfeld verwendet. Ein aktualisiertes Zertifikat wird erst geladen, wenn der mySORBA.Connect-Service neugestartet wird.
Diese Option geht nur bei Zertifikate mit Passwort.
Quelle - Aus Ordner mit automatischer rotation
Vom angegebenen Verzeichnis wird automatisch fortlaufend geprüft welches das aktuell gültige Zertifikat ist und spätestens nach 60 Sekunden geladen. Das Passwort wird gemäss Passwortfeld verwendet.

Passwort
Das hier gesetzte Passwort wird für das laden des Zertifikates gemäss Pfad verwendet.

4. Zertifikat-Installieren und / oder Fingerabdruck bestimmen (wenn bereits ein Zertifikat installiert ist). 

Danach den Service über Register "Controller" stoppen und wieder starten.
Im Browser bevor man die mySORBA Konfiguration anpasst den Ping-test ausführen.
Als Verbindungsdaten gibt man den Server und die Ports entsprechend dem Eintrag der "Lauschende Ports" ein.
Anders als ohne mySORBA.Connect, hat der Webservice und Restservice dieselben Verbindungsdaten!

5. mySORBA Konfiguration im SINFO nachtragen.

Für die Einträge DblibWebSrvc und DblibServer kann man jetzt dieselben Daten Eintragen, man muss aber den Haken für "DMZ  mySORBA.Connect" setzen.

mySORBA.Connect verwenden um einfach ein Zertifikat für den Webservice auf HTTPs / SSL einzurichten (mySORBA und Workspace 2017)

Diese Funktion wurde entfernt.
Anstelle dies direkt über den Webservice zu lösen, sollte mySORBA.Connect verwendet werden.

Security - Gültigkeit einstellen

Mit dem Update auf 26.1 wird ein Kommunikationsupdate eingespielt, welches die Kommunikation Client -> mySORBA.Connect -> mySORBA.Datenbankserver verändert.
Ältere mySORBA Versionen kennen diese neue Kommunikation noch nicht und würden für das mySORBA Update melden, dass der Server nicht erreichbar ist.

Achtung!
Der Server ist nicht erreichbar.

Damit das Automatische Update trotzdem ausgeführt werden kann wird die neue Kommunikationsart um 1 Tag verschoben und danach automatisch aktiviert.

Wenn nötig kann dies im mySORBA.Connect auf einen noch späteren Zeitpunkt festgelegt werden:

Authentifizierter Zugriff ab - Die neue Kommunikationsart ist ab dem gesetzten Datum 0:00 Uhr aktiv. Um dieses Datum verändern zu können muss der laufende Service beendet werden.

Zertifikate aktualisieren

Zertifikate sollte vor Ablauf der Gültigkeit erneuert werden um einen Unterbruch zu vermeiden.
Im neuesten mySORBA.Connect gibt es zur bis anhin vorhandenen Option "Windows-Zertifikatspeicher" noch zwei Weitere Optionen "Aus Datei (pfx) - statisch" und "Aus Ordner mit automatischer rotation".

Aus Windows-Zertifikatsspeicher (Thumbprint)

Bei diesem Vorgehen ist der mySORBA.Connect-Service für kurze Zeit offline.
Verbindungen werden währenddessen unterbrochen.

1. Rechte Maustaste auf PFX-Zertifikat -> PFX Installieren
   
2. Option "Lokaler Computer"
   
3. Pfad übernehmen.
4. Kennwort eingeben (dies wird vom Zertifikatsersteller vorgegeben), insofern definiert.
   
5. Zertifikatsspeicher festlegen.
   
6. Fertig stellen.
7. mySORBA.Connect -> Service stoppen.
8. Bei Zertifikate auf "Bestimmen..." klicken.
9. Neu installiertes Zertifikat anwählen.
10. Service starten.

Aus Datei (pfx) - statisch

Bei diesem Vorgehen ist der mySORBA.Connect-Service für kurze Zeit offline.
Verbindungen werden währenddessen unterbrochen.
Der Vorteil dieser Option ist, dass das Zertifikat selber nicht installiert werden muss.

1. Das Zertifikat im festgelegten Pfad ersetzen.
2. mySORBA.Connect -> Service stoppen.
3. Sollte sich das Passwort geändert haben, muss es nun aktualisiert werden.
4. mySORBA.Connect -> Service starten.

Aus Ordner mit automatischer rotation

Bei dieser Option wählt mySORBA.Connect selbstständig das aktuellste Zertifikat aus einem festgelegten Verzeichnis und aktualisert sich selber.
Hierbei entsteht kein Unterbruch in der Verbindung, bestehende Verbindungen bleiben aber mit dem Zertifikat bestehen, welche sie zum Zeitpunkt der Verbindung erhalten haben.

Wichtig ist, dass im vorgegebenen Verzeichnis nur das Zertifikat der gewünschten DNS abgelegt wird, da der mySORBA.Connect nicht weiss was richtig ist, lediglich ob es gültig ist.

1. Das Zertifikat im vorgegebenen Ordner ablegen.
   
2. Sollte sich das Passwort geändert haben, kommt man nicht drumherum den mySORBA.Connect Service kurz zu stoppen, sollte es gleich geblieben sein, wird nach ungefähr 60 Sekunden das neue Zertifikat für neue Verbindungen verwendet werden.

Tipps zum Tool und Fehlersuche

Zertifikatfehler ignorieren -> Wird der Haken gesetzt funktioniert HTTPs auch mit einem ungültigen Zertifikat. Was nicht zu empfehlen ist, aber für Testzwecke geht.

Aktiv - Haken bei "Lauschende Ports" -> Haken gesetzt = Lauschender Port aktiv.

Ping Test ist nicht erfolgreich aber Services laufen -> Hostname komplett eingetragen und nicht nur der PC-Name (z. B. musterpc statt musterpc.sorba.ch)

HTTPs geht nicht obwohl Zertifikat installiert und sonst alles stimmt -> Der Webservice läuft automatisch auch auf Port 443 für HTTPs, wenn man nichts anderes konfiguriert.