Konfiguration

Wir folgen dem Prinzip "Konvention vor Konfiguration".

Zertifikat-Pinning

Das Aktivieren und Deaktivieren der Verschlüsselung lässt sich nicht auf Client-Seite konfigurieren. Wenn Sie die Verschlüsselung deaktivieren möchten, setzen Sie sich bitte mit uns in Verbindung. Zusätzliche Protokollinformationen machen den Verschlüsselungsstatus für Sie transparent.

Sie können nach den folgenden Protokollmeldungen suchen, die anzeigen, ob die Verschlüsselung aktiviert ist und verwendet wird. Die folgende Protokollmeldung zeigt an, dass der DMC-Server für die Verwendung von TLS-Verschlüsselung konfiguriert ist:

Fri Jan 08 13:10:23 CET 2021 | INFO |SocketReader | Encrypted connection requested!

Einen TLS-Verbindungsversuch erkennen Sie an dem Begriff "using TLS" in den Logmeldungen für den SocketReader.

SocketReader - try to connect to: 128.127.8.141 on port: 41003 (using TLS) SocketReader - connected to 128.127.8.141:41003 via TLS encryption.

Beachten Sie, dass IP und Port in Ihrem Protokoll abweichen können.

Die folgende Protokollmeldung zeigt einen abgeschlossenen, erfolgreichen TLS-Handshake und die verwendeten Verschlüsselungsmethode (Cipher):

Fri Jan 08 13:10:23 CET 2021 | INFO | SocketReader | tryConnectTLS | Used cipher: TLSv1.2/TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Zertifikat-Pinning

Das Zertifikat-Pinning ist wie von uns empfohlen standardmäßig aktiviert.

Wenn Sie das Zertifikat-Pinning deaktivieren müssen, gehen Sie in die Konfigurationsdatei settings.properties des DMC-Clients und fügen Sie den folgenden Eintrag hinzu:

dmc.disableCertificateCheck=true

Gültige Werte für disableCertificateCheck sind true und false, wobei false der Standardwert ist.

Bei aktiviertem Zertifikat-Pinning (disableCertificateCheck=false) wird die komplette Zertifikatskette auf Gültigkeit überprüft. Die Zertifizierungsstelle (Certificate Authority, CA) wird mit der Liste der vertrauenswürdigen CAs aus Ihrer JVM abgeglichen. Darüber hinaus wird jedes Zertifikat validiert, wenn es bereits abgelaufen ist.

Die Fingerabdrücke des primären und sekundären Servers sind bereits vorkonfiguriert. Wenn Sie diese übersteuern müssen, verwenden Sie die hexadezimale Notation mit Doppelpunkten (":").

Beispiel

dmc.primaryUrlFingerprint=e4:bd:8b:fe:cd:fc:d6:6e:05:07:46:b3:29:73:48:33:ee:6d: dd:62:a3:3c:f8:e1:fb:de:11:f3:72:bc:3b:f2

dmc.secondaryUrlFingerprint=17:a2:ac:1f:65:9a:ba:59:38:27:fb:03:0d:59:87:24:eb:f f:87:14:67:6c:48:9e:ae:96:8e:e2:78:8e:67:53