TLS/SSL-Kommunikation und -Verschlüsselung

Eine sichere Kommunikation zwischen den Komponenten, die ein Automation Engine-System integrieren, beruht auf Verschlüsselung und Authentifizierung. Sie sichert den Datenfluss zwischen den Komponenten und stellt sicher, dass Daten während der Übertragung nicht gelesen oder verändert werden können. Als Systemadministrator konfigurieren Sie die Verschlüsselung in Ihrem System.

Wichtig! Besuchen Sie Enterprise Software Academy von Broadcom. Es gibt einen Kurs zu diesem Thema. Weitere Informationen finden Sie im Abschnitt Schulung am Ende dieses Themas.

Übersicht

Die Verschlüsselung wird für folgende Zwecke verwendet:

• Passwortspeicherung im Automation Engine
• Datenbank-Passwortreferenz in der Automation Engine
• Kommunikation zwischen Automation Engine-Instanzen und verschiedenen Komponenten
• Web-Schnittstellen und APIs
• Ausgehende Kommunikation

Einen detaillierteren Überblick darüber, welche Komponenten TLS/SSL verwenden, um die Verbindung mit ihren Kommunikationspartnern zu schützen, finden Sie unter TLS/SSL-Komponentenkommunikation

Netzwerkkommunikation

Die Automation Engine nutzt die TCP/IP-Protokollfamilie für die Datenübertragung. Diese Protokolle wurden für die ausfallsichere periphere Kommunikation entwickelt und eignen sich daher sehr gut für einen sicheren Datentransfer. Der Aufwand für den Aufbau von redundanten Netzwerken mit TCP/IP ist relativ gering, wodurch auch der Aufbau von hochverfügbaren und ausfallsicheren Netzwerken einfach ist.

Die Sicherheit der Kommunikation zwischen den einzelnen Verbindungspartnern hängt von der Verschlüsselung ab. Automic Automation verwendet TLS/SSL, um Vertraulichkeit, Integrität und Authentizität zu gewährleisten. Die Architektur besteht aus mehreren Zertifikaten, mit denen der Mandant die Identität des Endpunkts überprüfen kann. Die Automation Engine stellt einen TLS/SSL-Endpunkt über den Java-Kommunikationsprozess (JCP) bereit, zu dem Agenten eine Verbindung herstellen können. Um eine nahtlose Integration zu ermöglichen, wird empfohlen, ein Zertifikat zu verwenden, das auf den Client-Computern bereits vertrauenswürdig ist, wie zum Beispiel ein Zertifikat, das von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert wurde.

Die Automation Engine stellt automatisch Zertifikate für die Agenten zur Verfügung. Alle Zertifikate werden von der Automation Engine verarbeitet und signiert. Es sind keine manuellen Schritte erforderlich, was eine einfache Einrichtung sicherstellt und die Notwendigkeit einer zusätzlichen Zertifikatsverwaltung wegfallen lässt. Für die Ersteinrichtung benötigt der Agent ein Authentifizierungspaket, das verwendet wird, um den neuen Agenten im System zu registrieren. Während dieser Ersteinrichtung erhält der Agent ein Zertifikat von der Automation Engine; das Zertifikat wird dann verwendet, um sich gegenüber anderen Agenten zu authentifizieren, beispielsweise bei FileTransfers. Dadurch wird eine sichere Kommunikation zwischen Agenten ohne komplizierte Einrichtung sichergestellt.

Verschlüsselung

Die Automation Engine kommuniziert mit aktuellen Agents nur unter Verwendung von TLS/SSL. Eine unverschlüsselte Kommunikation ist nicht möglich, daher ist eine ordnungsgemäße TLS/SSL-Installation des JCP-Endpunkts erforderlich. Weitere Informationen finden Sie unter Verbindungen zur AE sichern (TLS/SSL).

Alle anderen Agenten stellen eine Verbindung mit einem Kommunikationsprozess (CP) herstellen und verwenden eine AES-Schlüsselebene Ihrer Wahl für die Verschlüsselung. Weitere Informationen finden Sie unter Nicht-TLS/SSL-Kommunikation und -Verschlüsselung.

TLS/SSL-Komponentenkommunikation

Dieser Abschnitt bietet einen Überblick über alle TLS/SSL-Verbindungen im System.

TLS/SSL und die Automation Engine

Die Kommunikation zwischen der Automation Engine, dem Automic Web Interface, der JAVA-API und dem Proxy-Client sowie zwischen der Automation Engine, den Java-, Windows- und UNIX-Agenten und dem TLS Gateway verwendet TLS/SSL über ein sicheres WebSocket (WSS). Diese Komponenten richten eine Verbindung zum Java-Kommunikationsprozess (JCP) und/oder dem REST-Prozess (REST) ein, die vertrauenswürdige Zertifikate verwenden, um ihre Identität gegenüber anderen Kommunikationspartnern nachzuweisen. Diese Zertifikate werden in einem Keystore gespeichert, der zuvor im pkcs12-Format erstellt werden muss. Die relevanten Parameter für den Keystore und die Schlüssel sind im Abschnitt [TLS] der Konfigurationsdatei (UCSRV.INI) der Automation Engine definiert.

Hinweis: Die JCP- und REST-Prozesse erlauben TLS-Mandanten nicht, einen erneuten Handshake zu initiieren.

TLS/SSL-Agenten (in Containern und lokal) und das TLS Gatewayrichten bei Verwendung für die Automic Automation Kubernetes Editioneine Verbindung zu einem Ingress-/HTTPS-Load Balancer ein, und nicht direkt zum JCP. Der Ingress-/HTTPS-Load Balancer muss erreichbar sein und benötigt ein Zertifikat zur Authentifizierung. Die Adresse des Load Balancers muss auf beiden Seiten definiert werden: Automation Engine und Agent/TLS Gateway.

Weitere Informationen zu den verschiedenen Zertifikattypen und ausführliche Anweisungen zur Erstellung und Verwendung finden Sie unter Welche Art von Zertifikaten sollte ich für Automic Automation v21 verwenden?

Mehr Informationen:

• Serverprozesstypen

• Verbindungen zur AE sichern (TLS/SSL)

• TLS/SSL-Zertifikate vorbereiten

• Eine Verbindung zum AWI, die JCP- und REST-Prozesse über einen Ingress herstellen

• Info über Proxy

• TLS Gateway

• Agenten (HOST)

• AE.ApplicationInterface

TLS/SSL und die Automic Web Interface

Die Automic Web Interface stelle eine Verbindung zu Automation Engine unter Verwendung von TLS/SSL her. Jedoch verwendet es normalerweise gängige Sicherheitsgrundsätze, um eine Verbindung zu einem Anwendungsserver herzustellen. Dies ist eine der wichtigsten Komponenten, die die Sicherheit der AWI beeinflusst.

Sie können TLS/SSL für die Kommunikation zwischen der AWI und einem Anwendungsserver aktivieren.

Mehr Informationen:

• Sicherung des Zugriffs auf AWI über TLS/SSL

• den Zugriffs auf das AWI sichern

TLS/SSL und PostgreSQL-Datenbank

Die Verbindung zwischen einer PostgreSQL-Datenbank (DB Server v11 und höher) und der Automation Engine kann unter Verwendung von TLS/SSL gesichert werden. Für diese Verbindung ist ebenfalls ein entsprechendes Zertifikat erforderlich. Weitere Informationen finden Sie unter Die AE-Datenbank einrichten - PostgreSQL.

TLS/SSL und der ServiceManager

Der ServiceManager verwendet TLS 1.2 und CAPKI, um sichere Verbindungen zu seinen Mandanten, dem ServiceManager-Dienst, dem ServiceManager-Dialogprogramm, dem ServiceManager-Kommandozeilenprogramm (CLI) und den Serverprozessen der Automation Engine herzustellen. Daher müssen Sie CAPKI auf allen Computern installieren, auf denen eine der genannten Komponenten läuft.

Wichtig! CAPKI wird in der Automic Automation Kubernetes Edition nicht unterstützt, aber Sie können den ServiceManager ohne CAPKI verwenden, um Ihre Agenten zu starten.

Mehr Informationen:

• Sicherheitskonzept für den ServiceManager

• CAPKI - Sicherung des ServiceManagers

TLS/SSL und die REST-API

Die AE-REST-API unterstützt sowohl HTTP als auch HTTPS (empfohlen). Standardmäßig wird HTTP verwendet. Sie können HTTPS mit dem Parameter sslEnabled in der INI-Datei der Automation Engine (ucsrv.ini) aktivieren.

Wenn Sie TLS/SSL aktivieren, müssen Sie sicherstellen, dass das für den Java-Kommunikationsprozess (JCP) verwendete Zertifikat ebenfalls konfiguriert ist, sodass die REST-API den REST-Prozess erreichen kann.

Mehr Informationen:

• AE-REST-API - Allgemeine Informationen

• Automation Engine - INI-Datei

• Installieren des REST-Prozesses

• Verbindungen zur AE sichern (TLS/SSL)

• TLS/SSL-Zertifikate vorbereiten

TLS/SSL und der Java-Arbeitsprozess

Wenn Sie möchten, können Sie TSL/SSL-Zertifikate für die LDAP-Verbindung verwenden. Dafür müssen die erforderlichen Zertifikate für den Java-Arbeitsprozess (JWP) verfügbar sein.

Mehr Informationen:

• TLS/SSL-Zertifikate für LDAP (optional)

• Einrichten einer LDAP-Verbindung

• UC_LDAP_EXAMPLE - LDAP Verbindungsvariable

TLS/SSL und Analytics

Analytics verwendet TLS/SSL, um die Kommunikation des Analytics-Backends mit dem und der Automation Engine und dem UI-Plug-in sowie die Kommunikation der Event Engine und optional der Rule Engine zu sichern.

Mehr Informationen:

• Analytics manuell installieren

• Event Engine installieren

TLS/SSL und die Proxy

Neben der Kommunikation zwischen der Automation Engine und dem Proxy-Client verwenden auch die folgenden Proxy-Verbindungen TLS/SSL:

• Die Kommunikation zwischen dem Proxy-Client und dem Proxy-Server

• Die Kommunikation zwischen dem Proxy Server und den TLS/SSL-Agenten

Mehr Informationen:

• Ausgehende Verbindung mit Proxy sichern

• Info über Proxy

• Migration auf ein AAKE-System

Schulung

Die Enterprise Software Academy bietet zahlreiche kostenlose Online-Schulungen. Falls noch nicht geschehen, registrieren Sie sich bei der Enterprise Software Academy, um von unserem Schulungsangebot zu profitieren.

Die Liste der Kurse für Produkte von Automic finden Sie hier: Automic Kurskatalog.

Diesem Thema sind die folgenden Kurse zugeordnet:

• Automic Automation TLS und Zertifikate

• Automic Automation TLS Gateway

Weitere Informationen finden Sie unter Kostenlose Online-Kurse

Siehe auch:

Sicherheit und Systemhärtung