TotalFlow BatchBuilder für die Verwendung des HTTPS-Protokolls konfigurieren

TotalFlow BatchBuilder bietet Unterstützung für die Verwendung des HTTPS-Sicherheitsprotokolls. Das HTTPS-Protokoll erleichtert eine sichere Netzwerkkommunikation, indem eine verschlüsselte Verbindung zwischen dem Server und der Webbrowser-Benutzeroberfläche hergestellt wird und der Datenschutz und die Integrität aller übertragenen Daten sichergestellt werden.

Dies ist das Verfahren für die Aktivierung von HTTPS unter Windows 10. In anderen Windows-Versionen kann das Verfahren leicht abweichen.

Um HTTPS zu aktivieren, benötigen Sie ein digitales Zertifikat. Sie können ein Zertifikat verwenden, das von einer Zertifizierungsstelle (CA) signiert wurde, oder ein selbstsigniertes Zertifikat.

    Wichtig:
  • Dieses Verfahren verwendet den Java-Befehl keytool. Weitere Informationen zur Verwendung von keytool finden Sie in der Java-Dokumentation oder in der Dokumentation, die von der Zertifizierungsstelle bereitgestellt wird.
  • Wenn Sie den Standard-Installationspfad geändert haben, stellen Sie sicher, dass Sie in jedem entsprechenden Schritt des Verfahrens C:\Programme\RICOH\TotalFlow BatchBuilder\ durch den Pfad ersetzen, unter dem TotalFlow BatchBuilder installiert ist.
  • Speichern Sie Kopien dieser Dateien an einem sicheren Ort, falls Sie sie in Zukunft wiederherstellen müssen.
    • C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml
    • C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml
    • C:\Programme\RICOH\TotalFlow BatchBuilder\conf.properties
  1. Rufen Sie das digitale Zertifikat ab und speichern Sie es auf dem Computer, auf dem TotalFlow BatchBuilder installiert ist.
    • Um ein Zertifikat zu verwenden, das von einer Zertifizierungsstelle signiert wurde, befolgen Sie die Anweisungen, die von der Zertifizierungsstelle für den Abruf eines signierten Zertifikats bereitgestellt wurden, und importieren Sie es in eine Schlüsselspeicherdatei.
    • So erstellen Sie ein selbstsigniertes Zertifikat:
      1. Öffnen Sie auf dem Computer, auf dem TotalFlow BatchBuilder installiert ist, eine Eingabeaufforderung als Administrator.
      2. Rufen Sie mit dem folgenden Befehl den Ordner auf, der das Java-Keytool enthält:
        • cd "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin"
      3. Generieren Sie mit dem folgenden Befehl eine lokale Schlüsselspeicherdatei und ein selbstsigniertes Zertifikat:
        • keytool.exe -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Ersetzen Sie storepass password durch das Passwort, das Sie für die Schlüsselspeicherdatei festlegen möchten.

        Ersetzen Sie certificate_validity durch die Anzahl der Gültigkeitstage für das Zertifikat. Geben Sie zum Beispiel für 90 Tage 90 ein.

        Damit das Java-Zertifikat Nicht-HTTPS-Komponenten anerkennt, fügen Sie die notwendigen Informationen zum Parameter "-ext san: ..." hinzu. Zum Beispiel:

        • Varianten für localhost, die die Heimadresse für IPv4 und IPv6 abdecken: ip:127.0.0.1,ip:::1.
        • Varianten für den Hostnamen: dns:USER.
        • IPv4- und/oder IPv6-Adressen des Computers im IP-Format: ip:User_IPv4,User_IPv6.

      4. Exportieren Sie die generierte Schlüsselspeicherdatei und importieren Sie sie in das Java-Sicherheitszertifikat, indem Sie diese beiden Befehle ausführen:
        • keytool -export -alias selfsigned -keystore "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin\keystore.jks" -storepass password -file "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin\selfsigned.crt"
        • keytool -import -alias selfsigned -keystore "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\lib\security\cacerts" -storepass "changeit" -file "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin\selfsigned.crt"

        Ersetzen Sie storepass password durch das Kennwort, das Sie für die Schlüsselspeicherdatei festgelegt haben.

  2. XML- und .properties-Dateien konfigurieren
    1. Ändern Sie die Datei C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml wie folgt:
      1. Ändern Sie die Zeilen 
        <Connector port="19080"
URIEncoding="UTF-8"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="19080"/>
        in 
        <Connector port="19080"
URIEncoding="UTF-8"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="19443"/>
        .
      2. Fügen Sie den folgenden Teil nach dem Absatz hinzu, der oben in Schritt 1) geändert wurde: 
        <Connector port="19443"
protocol="HTTP/1.1"
SSLEnabled="true"
enableLookups="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="LOCATION_OF_KEYSTORE_FILE"
keystorePass="KEYSTORE_PASSWORD"
clientAuth="false"
sslProtocol="TLS"
sslEnabledProtocols="TLSv1.2"/>
        .
    2. Ändern Sie die Datei C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml wie folgt:
      Fügen Sie den folgenden Teil vor </web app> hinzu (der sich am Ende der Datei befindet): 
      <security-constraint>
		<web-resource-collection>
		<web-resource-name>Secured</web-resource-name>
		<url-pattern>/*</url-pattern>
		</web-resource-collection>

		<user-data-constraint>
		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		</user-data-constraint>
</security-constraint>
      .
    3. Ändern Sie die Datei C:\Programme\RICOH\TotalFlow BatchBuilder\conf.properties wie folgt:
      1. Ersetzen Sie http durch https.
      2. Ersetzen Sie 19080 durch 19443.
  3. Starten Sie den TotalFlow BatchBuilder-Dienst neu.
  4. Prüfen Sie, ob die Anforderungen an die sichere Verbindung weitergeleitet werden:
    1. Öffnen Sie einen unterstützten Webbrowser.
    2. Geben Sie diese URL in die Adressleiste ein:

      http://server_address:port_number/BatchBuilder

      wobei server.address der Hostname oder die IP-Adresse des Computers ist, auf dem Ricoh TotalFlow BatchBuilder installiert ist, und port.number für den Web-Service-Port steht.

      Wenn die Seite geladen wird, sollte sich die Adresse in https://server_address:19443/BatchBuilder ändern.

Stellen Sie sicher, dass Sie das Verfahren wiederholen, um HTTPS immer dann zu aktivieren, wenn das Zertifikat bald ausläuft. Sie müssen dieses Verfahren auch jedes Mal wiederholen, wenn Sie den Installationsvorgang ausführen, um TotalFlow BatchBuilder neu zu installieren, zu aktualisieren oder zu reparieren.

Nachdem Sie TotalFlow BatchBuilder repariert haben und HTTPS nicht mehr aktivieren möchten, müssen Sie die interne Serveradresse wieder zu HTTP ändern:

  1. Rufen Sie C:\Programme\RICOH\TotalFlow BatchBuilder auf und bearbeiten Sie die Datei conf.properties als Administrator.
  2. Ersetzen Sie die Zeile "web.address": "https://server_address:19443/BatchBuilder" durch "webAddress": "http://server_address:19080/BatchBuilder".
  3. Speichern und schließen Sie die Datei.
  4. Starten Sie den TotalFlow BatchBuilder-Dienst neu.

    Hinweis:
  • Wenn Sie mit anderen Produkten arbeiten, funktionieren einige Funktionen, wie zum Beispiel die Statusverfolgung, möglicherweise nicht. Sie benötigen dann entweder ein gültiges, von einer CA genehmigtes Zertifikat für beide oder müssen die Zertifikatdateien der Produkte in ihren entsprechenden "cacerts"-Dateien importieren, wenn beide über HTTPS bedient werden.
  • Wenn Benutzer auf das System zugreifen, werden sie an das sichere Protokoll weitergeleitet, ohne dass sie selbst irgendetwas unternehmen müssen. Wenn Sie aber ein selbstsigniertes Zertifikat verwenden oder wenn das Zertifikat nicht speziell mit dem Server verknüpft ist, gibt der Webbrowser eine Warnung aus, dass dem Zertifikat nicht vertraut wird.
Übergeordnetes Thema: Sicherheit