mySORBA.Connect / DMZ / SSL für mySORBA - Grundeinstellungen

Der mySORBA.Connect Service ermöglicht auf einfache Weise DMZ-Installationen und erleichtert ebenfalls die Einrichtung von Https / SSL für den mySORBA Restservice (Workspace) und mySORBA Webservice (Apps).

Diese Anleitung ist geeignet für:
mySORBA, ab Version 19.1

Diese Anleitung ist nicht geeignet für:
mySORBA, mySORBA.Light, mySORBA.Studenten Versionen bis 18.x
SORBA Workspace


Wichtige Informationen - Lies mich!

Bei mySORBA.Connect unterscheiden wir grundsätzlich folgende vier Einsatzmöglichkeiten:

1. DMZ Server - mySORBA Server (inkl. Daten) sind NICHT direkt mit dem Internet verbunden.
Diese Einrichtungsart wird für Umgebungen verwendet, bei denen man nicht möchte, dass der Server mit den SorbaDaten direkt im Internet steht.
Siehe folgende Erklärungsgrafik:

mySORBA.Connect ersetzt die mySORBA DMZ mit Apache!

2. Service um mySORBA mit SSL - HTTPs zu verwenden.
Diese Einrichtungsart unterscheidet sich zum DMZ Server soweit, dass das mySORBA.Connect direkt auf demselben Server läuft wo auch die SorbaDaten liegen und die mySORBA Services laufen.

3. Konfigurationstool um Webservice auf SSL zu konfigurieren
Natürlich könnte man dies auch über die "alte" Methode noch immer lösen, das Tool mySORBA.Connect löst dies aber einiges komfortabler. Das Tool lässt sich dafür auch auf Workspace 2017 verwenden.

4. Tool für Terminalserver mit Loadbalancing (Roaming Bentzerverzeichnis).
Dies wird in folgendem Artikel erklärt: mySORBA.Connect für Terminalserver mit Loadbalancing (Roaming Benutzerverzeichnis).

 


mySORBA.Connect als DMZ installieren und Konfigurieren (mit / ohne SSL - HTTPs)

Benötigt wird von mySORBA nur die EXE "mySORBA.Connect", welche in einer aktuellen mySORBA Server Installation mitgeliefert wird oder von DeBi zur Verfügung gestellt wird.
Eine DMZ-Installation ist nach folgendem Muster aufgebaut:

  1. Server-PC auf welchem das Tool mySORBA.Connect installiert und Konfiguriert wird.
    mySORBA Workspace und Mobile-Devices verbinden sich mit diesem Server.
  2. Server-PC auf welchem die mySORBA Services (qsrvc64.exe, dblibsrv64.exe, dblibwebsrvc64.exe) laufen und die SorbaDaten liegen.
  3. Client-PC's auf welchem das mySORBA Workspace läuft / Mobile-Devices auf welchen die Apps laufen.

Auf einer korrekt eingerichteten DMZ-Umgebung läuft auf dem Server auf welchem mySORBA.Connect installiert und konfiguriert ist, nichts von SORBA und da liegen auch keine Daten!
Bei einer solchen Einrichtung geht es darum, dass zwischen dem Daten-Server und dem Internet noch eine Sicherheit liegt.
Möchte man einfach den mySORBA Server mit SSL betreiben ohne DMZ, siehe Punkt mySORBA.Connect  konfigurieren für mySORBA Workspace mit SSL - HTTPs OHNE DMZ.

Hinweis

Eine DMZ-Einrichtung ist immer langsamer als eine Direktverbindung, da alle Aktionen über den DMZ-Server umgeleitet werden.

Vorgehen bei einer DMZ-Installation (mit / ohne SSL - HTTPs)

1. mySORBA Server aufsetzen inkl. mySORBA Benutzer Verknüpfungen.

2. mySORBA.Connect auf dem DMZ Server installieren und konfigurieren

2.1. mySORBA.Connect.exe auf dem DMZ-Server in den Ordner "SORBA" kopieren (Speicherort ist zwar egal, aber so findet man die EXE wieder).

2.2. Verknüpfung zu der mySORBA.Connect.exe /Config erstellen. Zum Beispiel  "C:\SORBA\mySORBA.Connect.exe /Config".

2.3. mySORBA.Connect über die erstellte Verknüpfung (als Administrator) starten, damit das Konfigurationsfenster erscheint:

Register "Controller"
In diesem Register wird der DMZ-Dienst gesteuert.
Testen - Startet den DMZ-Dienst ohne ihn zu Installieren. Konfiguration gemäss Register "Relay/Forward-Service".
Service Installieren - mySORBA.Connect wird als Windows-Dienst installiert.
Service löschen - mySORBA.Connect Windows-Dienst-Eintrag wird gelöscht.
Service stoppen - mySORBA.Connect Windows-Dienst wird gestoppt.
Service starten - mySORBA.Connect Windows-Dienst wird gestartet.

Register "Relay/Forward-Service"

Lauschende Ports
Auf diesen Ports "hört" der mySORBA.Connect Service. Anders als beim mySORBA Server geht hier der Rest-Service und Web-Service über denselben Port.
Dies muss man schlussendlich dementsprechend in der mySORBA Konfiguration nachtragen, siehe Punkt 3.

Weiterleitung auf
An diesen Server leitet der DMZ-Server weiter. Auf dem da angegebenen Server ist der mySORBA Server installiert und da laufen auch die SORBA Dienste.
Hostname -> Verbindung zum mySORBA Server.
DblibRestSrvc-Port -> auf diesem Port läuft der mySORBA Rest-Service.
DblibWebSrvc-Port -> Auf diesem Port läuft der mySORBA Web-Service (Apps).

Zertifikate
In diesem Bereich kann ein Kunden-Zertifikat installiert werden und / oder entsprechend auf den lauschenden Https-Port gebunden werden.
Zertifikat-Installieren -> Hier wird ein Kunden-Zertifikat auf dem DMZ-Server installiert. Man benötigt das Zertifikat im PFX-Format und das entsprechende Passwort.
Zertifikat auf Port binden -> hiermit wird der eingestellte Https-Port mit dem Zertifikat verknüpft und man kann eine SSL-Verbindung mit diesem Port aufbauen.

Achtung

Bei Anpassungen an der Konfiguration muss man den mySORBA.Connect Dienst neustarten.

2.4. unter Register "Relay/Forward-Service" Lauschende Ports gemäss Wunsch einstellen, diese Ports sind wichtig für die mySORBA Konfiguration.

2.5. Weiterleitung auf - Daten entsprechend einstellen, hier als Gegentest den Ping-Test entsprechend machen um Fehler auszuschliessen.

-> Möchte man keine SSL - HTTPs Verbindung einrichten, kann man Punkt 2.6. - 2.7. überspringen.

2.6. Zertifikat-Installieren, insofern nicht bereits durch den Kunden gemacht.

2.7. Zertifikat auf Port binden -> Nun wird es auf den Https-Port gebunden / verknüpft. Diesen Schritt kann man wiederholen, wenn man den Https-Port ändert.

Sollte der Dialog für das Auswählen vom Zertifikat nicht erscheinen, muss man eventuell zuerst den Dienst installieren -> Siehe Register "Controller".

2.8. Unter Register "Controller" den mySORBA.Connect Service installieren / oder wenn er bereits installiert ist mit "Service stoppen" und "Service starten" die Änderungen übernehmen.

2.9. Unter den Windows Diensten kontrollieren ob der Dienst "mySORBA.Connect" läuft und den Ping-Test diesmal über die DMZ-Server-Adresse machen.
So erkennt man ob die SSL - Https Verbindung funktioniert:

Ping-Test im Browser mit Https-Verbindungsdaten ausführen und über die Browser-Prüffunktionen anzeigen, ob die Verbindung sicher ist.


 

3. mySORBA Konfiguration im SINFO auf den DMZ-Server umstellen.

Anders als bei einer "normalen" mySORBA Installation wird in diesem Fall für den DblibWebsrvc und SorbaRestService derselbe Port verwendet.
Speziell ist hier, dass man für die Apps und das mySORBA Workspace dieselben Verbindungsdaten verwenden kann. mySORBA.Connect regelt dies automatisch.
Dass man dies so einstellen kann, muss der Haken für "DMZ / mySORBA.Connect" gesetzt sein:

  


mySORBA.Connect  konfigurieren für mySORBA Workspace mit SSL - HTTPs OHNE DMZ

mySORBA selber kann kein SSL / HTTPs, deshalb muss das Tool mySORBA.Connect verwendet werden. Es ist aber deswegen nicht zwingend notwendig eine DMZ-Einrichtung zu erstellen.
Dazu reicht es das mySORBA.Connect auf dem mySORBA Server entsprechend zu konfigurieren und die mySORBA Verbindungsdaten anzupassen.

mySORBA.Connect wird automatisch mit einer neuen mySORBA Server Setup Version ausgeliefert oder kann über DeBi bezogen werden.

1. mySORBA.Connect über den mySORBA Server (ab Version 19.1 unter Controller-Einstellungen -> mySORBA.Connect) oder als Administrator über Ausführen starten: "c:\sorba\mySORBA.Connect.exe /config"

2. Register "Controller" -> "Service Installieren", dies Installiert den Dienst "mySORBA.Connect".

3. Register "Relay/Forward-Service" -> "Lauschende Ports" und "Weiterleitung auf" entsprechend konfigurieren:

Achtung

Bei dieser Einrichtungsmethode unbedingt darauf achten, dass sich Lauschende Ports nicht mit Weiterleitung auf überschneiden!

Lauschende Ports
Auf diesen Ports "hört" der mySORBA.Connect Service. Anders als beim mySORBA Server geht hier der Rest-Service und Web-Service über denselben Port.
Dies muss man schlussendlich dementsprechend in der mySORBA Konfiguration nachtragen, siehe Punkt 5.

Weiterleitung auf
Hier muss die Verbindung zum aktuellen mySORBA Server eingegeben werden.
Hostname -> Verbindung zum mySORBA Server.
DblibRestSrvc-Port -> auf diesem Port läuft der mySORBA Rest-Service.
DblibWebSrvc-Port -> Auf diesem Port läuft der mySORBA Web-Service (Apps).

Zertifikate
In diesem Bereich kann ein Kunden-Zertifikat installiert werden und / oder entsprechend auf den lauschenden Https-Port gebunden werden.
Zertifikat-Installieren -> Hier wird ein Kunden-Zertifikat auf dem Server installiert. Man benötigt das Zertifikat im PFX-Format und das entsprechende Passwort.
Zertifikat auf Port binden -> hiermit wird der eingestellte Https-Port mit dem Zertifikat verknüpft und man kann eine SSL-Verbindung mit diesem Port aufbauen.

4. Zertifikat-Installieren und Zertifikat auf Port binden. 

Danach den Service über Register "Controller" stoppen und wieder starten.
Im Browser bevor man die mySORBA Konfiguration anpasst den Ping-test ausführen.
Als Verbindungsdaten gibt man den Server und die Ports entsprechend dem Eintrag der "Lauschende Ports" ein.
Anders als ohne mySORBA.Connect, hat der Webservice und Restservice dieselben Verbindungsdaten!

5. mySORBA Konfiguration im SINFO nachtragen.

Für die Einträge DblibWebSrvc und SorbaRestService kann man jetzt dieselben Daten Eintragen, man muss aber den Haken für "DMZ  mySORBA.Connect" setzen.


mySORBA.Connect verwenden um einfach ein Zertifikat für den Webservice auf HTTPs / SSL einzurichten (mySORBA und Workspace 2017)

Das Tool mySORBA.Connect kann auch einfach dazu verwendet werden, ein SSL-Zertifikat zu installieren und auf den entsprechenden Port zu binden.
Dazu benötigt man einfach die mySORBA.Connect.exe, welche man von einer aktuellen mySORBA Server Installation oder von DeBi bekommt.

1. mySORBA.Connect auf den PC wo der Webservice installiert ist kopieren und über "Ausführen" als Administrator mit folgendem Befehl starten: "c:\<Speicherpfad_der_exe>\mysorba.Connect.exe /config". 

2. Register "Relay/Forward-Service" -> Zertifikate -> Zertifikat-Installieren

3. Unter "Lauschende Ports" den "Https-Port" entsprechend dem Https-Port, den man für den Webservice für SSL verwendet eingeben und "Zertifikat auf Port binden".

 


Tipps zum Tool und Fehlersuche

Zertifikatfehler ignorieren -> Wird der Haken gesetzt funktioniert HTTPs auch mit einem ungültigen Zertifikat. Was nicht zu empfehlen ist, aber für Testzwecke geht.

Aktiv - Haken bei "Lauschende Ports" -> Haken gesetzt = Lauschender Port aktiv.

Ping Test ist nicht erfolgreich aber Services laufen -> Hostname komplett eingetragen und nicht nur der PC-Name (z. B. musterpc statt musterpc.sorba.ch)

HTTPs geht nicht obwohl Zertifikat installiert und sonst alles stimmt -> Der Webservice läuft automatisch auch auf Port 443 für HTTPs, wenn man nichts anderes konfiguriert.


Sie finden diesen Artikel auch unter folgenden Begriffen:
https , mySORBA , SSL , DMZ , Server , Workspace , App , extern , intern , verschlüsseln , verschlüsselt , konfigurieren , installieren , Konfiguration

War dieser Beitrag hilfreich?
0 von 0 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.