Neben der Verschlüsselungsfunktionalität muss vom Anwender auch für TLS Verbindungen eine openSSL Bibliothek zur Verfügung gestellt werden.
Sind für eine UTM-Anwendung BCAMAPPLs mit T-PROT=(SOCKET,...,SECURE) generiert, wird beim Start der Anwendung eine Anzahl von Netzprozessen vom Typ utmnetssl gestartet.
In jedem utmnetssl Prozess erfolgt die Kommunikation über den Transport Layer Security (TLS).
Beim Starten eines utmnetssl Prozesses wird dafür die TLS Umgebung initialisiert. Dabei werden neben dem Laden der openSSL Bibliothek auch die für die Kommunikation benötigten Zertifikate und privaten Schlüssel geladen.
Voraussetzung für einen erfolgreichen Start eines Prozesses vom Typ utmnetssl sind folgende Aktionen des Anwenders:
- Zur Verfügung stellen einer passenden openSSL Bibliothek
- Setzen der Umgebungsvariablen UTM_SSL_LIBRARY
Details siehe Kapitel Umgebungsvariable für die Nutzung der openSSL Bibliothek. - Erzeugen einer UTM TLS Konfigurationsdatei unter dem <filebase> Verzeichnis
Verhalten im Fehlerfall
Ist die Initialisierung der TLS Umgebung nicht erfolgreich, wird der utmnetssl Prozess beendet und im Anschluss daran auch die UTM Anwendung abnormal beendet.
Version openSSL Bibliothek
Details zur Version der openSSL Bibliothek entnehmen Sie bitte der Freigabemitteilung für openUTM.
UTM TLS Konfigurationsdatei
In der UTM TLS Konfigurationsdatei geben Sie Optionen für die TLS Kommunikation an.
Dies sind die Dateinamen für die Datei mit dem SSL Server-Zertifikat und die Datei mit dem privaten SSL Server-Schlüssel.
Der Inhalt der UTM TLS Konfigurationsdatei wird beim Starten eines jeden utmnetssl Prozesses ausgewertet und die dort angegeben Zertifikate/Schlüssel geladen und geprüft.
Im Fehlerfall wird der utmnetssl Prozess beendet.
Dateiname
Der Name für UTM TLS Konfigurationsdatei ist fest vorgegeben:
utm.ssl.conf
Dateiformat
Die Datei ist zeilenorientiert. Als erste Zeile enthält sie einen Header, danach folgen die Angabe der Optionen. Zusätzlich sind Leerzeilen und Kommentarzeilen erlaubt.
Der Header – erste Zeile – hat folgendes Format:
#@(#) openUTM SSL Config File
Kommentarzeilen beginnen mit # oder *.
Die Angabe für das Zertifikat und den Schlüssel erfolgt in folgender Form
RSACertificateFile=<dateiname>
bzw.
RSAKeyFile=<dateiname>
RSACertificateFile
Mit dem Parameter RSACertificateFile wird eine Datei angegeben, die das RSA-basierte X.509-Server-Zertifikat im PEM-Format enthält.
Diese Datei kann auch den privaten RSA-Server-Schlüssel enthalten. In der Regel werden aber Zertifikat und Schlüssel in getrennten Dateien abgelegt. In diesem Fall wird die Schlüsseldatei mithilfe des Parameters RSAKeyFile spezifiziert.
RSAKeyFile
Mit dem Parameter RSAKeyFile wird eine Datei angegeben, die den privaten RSA-Server-Schlüssel im PEM-Format enthält.
Für die UTM TLS Konfigurationsdatei gelten folgende Maximalwerte und Regeln:
- Die erste Zeile muss der Header sein
- Maximale Zeilenlänge: 300 Zeichen
- Leerzeilen und Kommentarzeilen werden ignoriert.
Muster für UTM TLS Konfigurationsdatei
Unter dem Verzeichnis utmpfad/ssl wird eine Musterdatei für eine UTM TLS Konfigurationsdatei ausgeliefert.