mySORBA.Connect / DMZ / SSL für mySORBA

Folgen
Print Friendly and PDF

Der mySORBA.Connect Service ermöglicht auf einfache Weise DMZ-Installationen und erleichtert ebenfalls die Einrichtung von Https / SSL für den mySORBA Restservice (Workspace) und mySORBA Webservice (Apps).

Diese Anleitung ist geeignet für:
mySORBA, ab Version 19.1

Diese Anleitung ist nicht geeignet für:
mySORBA, mySORBA.Light, mySORBA.Studenten Versionen bis 18.x
SORBA Workspace


Wichtige Informationen - Lies mich!

Bei mySORBA.Connect unterscheiden wir grundsätzlich folgende vier Einsatzmöglichkeiten:

1. DMZ Server - mySORBA Server (inkl. Daten) sind NICHT direkt mit dem Internet verbunden.
Diese Einrichtungsart wird für Umgebungen verwendet, bei denen man nicht möchte, dass der Server mit den SorbaDaten direkt im Internet steht.
Siehe folgende Erklärungsgrafik:

mySORBA.Connect ersetzt die mySORBA DMZ mit Apache!

2. Service um mySORBA mit SSL - HTTPs zu verwenden.
Diese Einrichtungsart unterscheidet sich zum DMZ Server soweit, dass das mySORBA.Connect direkt auf demselben Server läuft wo auch die SorbaDaten liegen und die mySORBA Services laufen.

3. Konfigurationstool um Webservice auf SSL zu konfigurieren
Natürlich könnte man dies auch über die "alte" Methode noch immer lösen, das Tool mySORBA.Connect löst dies aber einiges komfortabler. Das Tool lässt sich dafür auch auf Workspace 2017 verwenden.

4. Tool für Terminalserver mit Loadbalancing (Roaming Bentzerverzeichnis).
Dies wird in folgendem Artikel erklärt: mySORBA.Connect für Terminalserver mit Loadbalancing (Roaming Benutzerverzeichnis).

 


mySORBA.Connect als DMZ installieren und Konfigurieren (mit / ohne SSL - HTTPs)

Benötigt wird von mySORBA nur die EXE "mySORBA.Connect", welche in einer aktuellen mySORBA Server Installation mitgeliefert wird.
Eine DMZ-Installation ist nach folgendem Muster aufgebaut:

  1. Server-PC auf welchem das Tool mySORBA.Connect installiert und Konfiguriert wird.
    mySORBA Workspace und Mobile-Devices verbinden sich mit diesem Server.
  2. Server-PC auf welchem die mySORBA Services (qsrvc64.exe, dblibsrv64.exe, dblibwebsrvc64.exe) laufen und die SorbaDaten liegen.
  3. Client-PC's auf welchem das mySORBA Workspace läuft / Mobile-Devices auf welchen die Apps laufen.

Auf einer korrekt eingerichteten DMZ-Umgebung läuft auf dem Server auf welchem mySORBA.Connect installiert und konfiguriert ist, nichts von SORBA und da liegen auch keine Daten!
Bei einer solchen Einrichtung geht es darum, dass zwischen dem Daten-Server und dem Internet noch eine Sicherheit liegt.
Möchte man einfach den mySORBA Server mit SSL betreiben ohne DMZ, siehe Punkt mySORBA.Connect  konfigurieren für mySORBA Workspace mit SSL - HTTPs OHNE DMZ.

Hinweis:

Eine DMZ-Einrichtung ist immer langsamer als eine Direktverbindung, da alle Aktionen über den DMZ-Server umgeleitet werden.

Vorgehen bei einer DMZ-Installation (mit / ohne SSL - HTTPs)

1. mySORBA Server aufsetzen inkl. mySORBA Benutzer Verknüpfungen.

2. mySORBA.Connect auf dem DMZ Server installieren und konfigurieren

2.1. Das Programm mySORBA.Connect vom aktuellen Setup kopieren: 
- <Installationsverzeichnis>\mySORBA.Connect.exe
- <Installationsverzeichnis>\mySORBA.Connect.exe.config
- kompletter Unterordner <Installationsverzeichnis>\mysc

2.2. Verknüpfung zu der mySORBA.Connect.exe /Config erstellen. Zum Beispiel  "C:\SORBA\mySORBA.Connect.exe /Config".

2.3. mySORBA.Connect über die erstellte Verknüpfung (als Administrator) starten, damit das Konfigurationsfenster erscheint:

mceclip1.png

Register "Relay/Forward-Service"
In diesem Register wird der DMZ-Dienst gesteuert.
Lauschende Ports
Auf diesen Ports "hört" der mySORBA.Connect Service. Anders als beim mySORBA Server geht hier der Rest-Service und Web-Service über denselben Port.
Dies muss man schlussendlich dementsprechend in der mySORBA Konfiguration nachtragen, siehe Punkt 3.
Hinweis
Der mySORBA Webservice (dblibwebsrvc64.exe) läuft automatisch auf Port 443 für SSL, selbst wenn nichts konfiguriert wurde. Wenn mySORBA.Connect auf 443 auf demselben Server wo der Webservice läuft laufen soll, muss zwingend der mySORBA Webservice auf einen anderen SSL-Port konfiguriert werden, selbst wenn dieser nicht benötigt wird.
Es ist nicht möglich die SSL-Funktion auf dem Webservice grundsätzlich abzuschalten.

Control

Testen - Startet den DMZ-Dienst ohne ihn zu Installieren. Konfiguration gemäss Register "Relay/Forward-Service".
Service Installieren - mySORBA.Connect wird als Windows-Dienst installiert.
Service löschen - mySORBA.Connect Windows-Dienst-Eintrag wird gelöscht.
Service stoppen - mySORBA.Connect Windows-Dienst wird gestoppt.
Service starten - mySORBA.Connect Windows-Dienst wird gestartet (bei gestartetem Dienst werden die Konfigurationsfelder deaktiviert).

 

Weiterleitung auf
An diesen Server leitet der DMZ-Server weiter. Auf dem da angegebenen Server ist der mySORBA Server installiert und da laufen auch die SORBA Dienste.
Hostname -> Verbindung zum mySORBA Server.
DblibServer Port -> auf diesem Port läuft der mySORBA Rest-Service (Datenbankdienst).
DblibWebSrvc Port -> Auf diesem Port läuft der mySORBA Web-Service (Apps).

Zertifikate
In diesem Bereich kann ein Kunden-Zertifikat installiert werden und / oder entsprechend auf den lauschenden Https-Port gebunden werden.
Fingerabdruck - Bestimmen... -> Wenn das benötigte Zertifikat bereits installiert ist, kann es hiermit angewählt werden. Das Feld "Fingerabdruck" wird danach automatisch ausgefüllt.
Zertifikat-Installieren -> Hier wird ein Kunden-Zertifikat auf dem DMZ-Server installiert. Man benötigt das Zertifikat im PFX-Format und das entsprechende Passwort vom Private Key.
Eigenes Zertifikat erstellen und installieren -> Diese Funktion erstellt ein freies Zertifikat über "LetsEncrypt" (mehr Informationen hier: https://letsencrypt.org/de/). Voraussetzung dafür ist, dass der Port 80 vom Internet her auf den Server offen ist. Ansonsten kann die Verifizierung nicht stattfinden.
Der Port 80 ist hierbei nicht veränderbar!

Achtung:

Bei Anpassungen an der Konfiguration muss man den mySORBA.Connect Dienst neustarten.

2.4. unter Register "Relay/Forward-Service" Lauschende Ports gemäss Wunsch einstellen, diese Ports sind wichtig für die mySORBA Konfiguration.

2.5. Weiterleitung auf - Daten entsprechend einstellen, hier als Gegentest den Ping-Test entsprechend machen um Fehler auszuschliessen.

-> Möchte man keine SSL - HTTPs Verbindung einrichten, kann man Punkt 2.6. - 2.7. überspringen.

2.6. Zertifikat-Installieren, insofern nicht bereits durch den Kunden gemacht. / Oder Fingerabdruck Bestimmen ...
mceclip2.png

Sollte der Dialog für das Auswählen vom Zertifikat nicht erscheinen, muss man eventuell zuerst den Dienst installieren -> Siehe Register "Controller".

2.7. Unter Register "Controller" den mySORBA.Connect Service installieren / oder wenn er bereits installiert ist mit "Service stoppen" und "Service starten" die Änderungen übernehmen.

2.8. Unter den Windows Diensten kontrollieren ob der Dienst "mySORBA.Connect" läuft und den Ping-Test diesmal über die DMZ-Server-Adresse machen.
So erkennt man ob die SSL - Https Verbindung funktioniert:

Ping-Test im Browser mit Https-Verbindungsdaten ausführen und über die Browser-Prüffunktionen anzeigen, ob die Verbindung sicher ist.

Logging

Optional zu aktivieren, wenn man Schwierigkeiten mit dem Dienst hat und für den Support mehr Informationen benötigt.
Die Logdatei wird unter dem <Service-Installationsverzeichnis>/mysc abgelegt.

 

3. mySORBA Konfiguration im SINFO auf den DMZ-Server umstellen.

Anders als bei einer "normalen" mySORBA Installation wird in diesem Fall für den DblibWebSrvc und DblibServer derselbe Port verwendet.
Speziell ist hier, dass man für die Apps und das mySORBA Workspace dieselben Verbindungsdaten verwenden kann. mySORBA.Connect regelt dies automatisch.
Dass man dies so einstellen kann, muss der Haken für "DMZ / mySORBA.Connect" gesetzt sein:

mceclip3.png


mySORBA.Connect  konfigurieren für mySORBA Workspace mit SSL - HTTPs OHNE DMZ (Reverse Proxy)

mySORBA selber kann kein SSL / HTTPs, deshalb muss das Tool mySORBA.Connect verwendet werden. Es ist aber deswegen nicht zwingend notwendig eine DMZ-Einrichtung zu erstellen.
Dazu reicht es das mySORBA.Connect auf dem mySORBA Server entsprechend zu konfigurieren und die mySORBA Verbindungsdaten anzupassen.

mySORBA.Connect wird automatisch mit einer neuen mySORBA Server Setup Version ausgeliefert.

1. mySORBA.Connect über den mySORBA Server (ab Version 19.1 unter Controller-Einstellungen -> mySORBA.Connect) oder als Administrator über Ausführen starten: "c:\sorba\mySORBA.Connect.exe /config"

2. Register "Controller" -> "Service Installieren", dies Installiert den Dienst "mySORBA.Connect".

3. Register "Relay/Forward-Service" -> "Lauschende Ports" und "Weiterleitung auf" entsprechend konfigurieren:

mceclip0.png

Achtung:

Bei dieser Einrichtungsmethode unbedingt darauf achten, dass sich Lauschende Ports nicht mit Weiterleitung auf überschneiden!

Lauschende Ports
Auf diesen Ports "hört" der mySORBA.Connect Service. Anders als beim mySORBA Server geht hier der Rest-Service und Web-Service über denselben Port.
Dies muss man schlussendlich dementsprechend in der mySORBA Konfiguration nachtragen, siehe Punkt 5.
Hinweis
Der mySORBA Webservice (dblibwebsrvc64.exe) läuft automatisch auf Port 443 für SSL, selbst wenn nichts konfiguriert wurde. Wenn mySORBA.Connect auf 443 auf demselben Server wo der Webservice läuft laufen soll, muss zwingend der mySORBA Webservice auf einen anderen SSL-Port konfiguriert werden, selbst wenn dieser nicht benötigt wird.
Es ist nicht möglich die SSL-Funktion auf dem Webservice grundsätzlich abzuschalten.

Weiterleitung auf
Hier muss die Verbindung zum aktuellen mySORBA Server eingegeben werden.
Hostname -> Verbindung zum mySORBA Server.
DblibServer Port -> auf diesem Port läuft der mySORBA Rest-Service (Datenbankdienst).
DblibWebSrvc Port -> Auf diesem Port läuft der mySORBA Web-Service (Apps).

Zertifikate
In diesem Bereich kann ein Kunden-Zertifikat installiert werden und / oder entsprechend auf den lauschenden Https-Port gebunden werden.
Fingerabdruck - Bestimmen... -> Wenn das benötigte Zertifikat bereits installiert ist, kann es hiermit angewählt werden. Das Feld "Fingerabdruck" wird danach automatisch ausgefüllt.
Zertifikat-Installieren -> Hier wird ein Kunden-Zertifikat auf dem DMZ-Server installiert. Man benötigt das Zertifikat im PFX-Format und das entsprechende Passwort vom Private Key.
Eigenes Zertifikat erstellen und installieren -> Diese Funktion erstellt ein freies Zertifikat über "LetsEncrypt" (mehr Informationen hier: https://letsencrypt.org/de/). Voraussetzung dafür ist, dass der Port 80 vom Internet her auf den Server offen ist. Ansonsten kann die Verifizierung nicht stattfinden.
Der Port 80 ist hierbei nicht veränderbar!

4. Zertifikat-Installieren und / oder Fingerabdruck bestimmen (wenn bereits ein Zertifikat installiert ist). 

Danach den Service über Register "Controller" stoppen und wieder starten.
Im Browser bevor man die mySORBA Konfiguration anpasst den Ping-test ausführen.
Als Verbindungsdaten gibt man den Server und die Ports entsprechend dem Eintrag der "Lauschende Ports" ein.
Anders als ohne mySORBA.Connect, hat der Webservice und Restservice dieselben Verbindungsdaten!

5. mySORBA Konfiguration im SINFO nachtragen.

Für die Einträge DblibWebSrvc und DblibServer kann man jetzt dieselben Daten Eintragen, man muss aber den Haken für "DMZ  mySORBA.Connect" setzen.


mySORBA.Connect verwenden um einfach ein Zertifikat für den Webservice auf HTTPs / SSL einzurichten (mySORBA und Workspace 2017)

Diese Funktion wurde entfernt.
Anstelle dies direkt über den Webservice zu lösen, sollte mySORBA.Connect verwendet werden.

 


Tipps zum Tool und Fehlersuche

Zertifikatfehler ignorieren -> Wird der Haken gesetzt funktioniert HTTPs auch mit einem ungültigen Zertifikat. Was nicht zu empfehlen ist, aber für Testzwecke geht.

Aktiv - Haken bei "Lauschende Ports" -> Haken gesetzt = Lauschender Port aktiv.

Ping Test ist nicht erfolgreich aber Services laufen -> Hostname komplett eingetragen und nicht nur der PC-Name (z. B. musterpc statt musterpc.sorba.ch)

HTTPs geht nicht obwohl Zertifikat installiert und sonst alles stimmt -> Der Webservice läuft automatisch auch auf Port 443 für HTTPs, wenn man nichts anderes konfiguriert.

 

War dieser Beitrag hilfreich?
1 von 2 fanden dies hilfreich