Anleitungen |
  
|
Anleitungen |
|
•Verwenden der Public Key Authentifizierung
•Fingerprint des Servers ermitteln
•Import eines privaten Schlüssels in den KeyStore
•Umwandlung eines Schlüssels / Private Key mit einem Passwort schützen
Verwenden der Public Key Authentifizierung
Für die Authentifizierung mittels Public Key benötigen Sie den privaten Schlüssel des Benutzers. Machen Sie dabei mit dem Administrator ab wie Sie zu ihrem privaten Schlüssel kommen. Der Public Key dieses Schlüsselpaares wird im entsprechenden Verzeichnis auf dem Server abgelegt. Der Private Key bleibt bei Ihnen und sollte verschlüsselt abgespeichert werden (siehe Private Key mit einem Passwort schützen).
Entweder erstellen Sie sich selber ein Schlüsselpaar (z.B. mit dem Freeware Programm PuTTYgen) und übermitteln dem Administrator des Servers den Public Key (niemals aber den Private Key). Oder der Administrator des Servers erstellt für Sie das Schlüsselpaar und übergibt Ihnen den Private Key.
Der Private Key muss entweder im OpenSSH Format, oder im ssh.com Format vorliegen. Falls Sie ein anderes Format erhalten, können Sie in den meisten Fällen das Format mit PuTTYgen ändern (Siehe Umwandlung eines Schlüssels). Es können sowohl RSA als auch DSA Verschlüsselungen verwendet werden (Hat nichts mit dem Format zu tun in welchem der Private Key abgespeichert wird).
Bei der Verwendung von DABiS SFTP URIs gibt es mehrere Möglichkeiten eine Public Key Authentifizierung durchzuführen. Hier wird nur auf die empfohlene Variante eingegangen.
•Wandeln Sie gegebenenfalls den Private Key in ein unterstütztes Format (OpenSSH, ssh.com) um. (Siehe Umwandlung eines Schlüssels).
•Verschlüsseln Sie den Private Key, falls dieser noch unverschlüsselt vorliegt (Siehe Private Key mit einem Passwort schützen).
•Importieren Sie den Private Key in den KeyStore (Siehe dazu Import eines privaten Schlüssels in den KeyStore).
Stellen Sie dabei sicher, dass der Parameter SSHKeyStoragePath in der Anwendung für die Sie den Zugang konfigurieren korrekt gesetzt ist.
•Ermitteln Sie den Fingerprint des Servers (Siehe Fingerprint des Servers ermitteln).
•Verwenden Sie anschliessend das DABiS SFTP URIs immer mit dem Parameter fingerprint und privatekey (Siehe DABiS SFTP URI Schema).
Verwenden Sie für den Parameter fingerprint den ermittelten Finterprint des Servers.
Verwenden Sie für den Parameter privatekey nicht den absoluten Pfad des originalen Private Keys, sondern lediglich der Name des Importierten Private Keys (mit Dateiendung wenn vorhanden). Damit wird beim Aufbau einer Verbindung immer der importierte Private Key aus dem Key Store verwendet.
Wenn Sie den absoluten Pfad des Private Keys angeben, wird dieser bei jedem Verbindungsaufbau versucht in den Key Store zu importieren, was nur geht wenn entweder der Private Key unverschlüsselt vorliegt, oder Sie das Passwort des Keys im URI mit angeben wird, was beides ein potentielles Sicherheitsrisiko darstellt.
Es folgt ein Beispiel für eine URI mit den entsprechenden Parametern.
sftp://myuser;privatekey=mykeyname;fingerprint=56:5d:b3:cb:24:50:46:23:f0:38:37:cb:5e:d0:b2:4c@myhost.com/test
Mit dem Tool DABiS SFTPUtil können Sie testen, ob eine URI eine Verbindung zu einem SFTP Server aufbauen kann (Siehe Verbindungstest). Da für die Verbindung der importierte Private Key aus dem KeyStore verwendet wird, wird der originale Private Key nicht mehr benötigt. Sie können den Passwort geschützten Private Key an einer sicheren Stelle aufbewahren. Die getestete URI können Sie nun in der gewünschten DABiS Anwendung verwenden.
Achtung seien sie vorsichtig in der Handhabung mit Schlüsseln. Wenn Sie einen Schlüssel transferieren, müssen Sie sich sicher sein, dass der Schlüssel unterwegs nicht von einem Angreifer ausgetauscht oder gelesen wurde!
DABiS Anwendungen verwenden den Fingerprint des Servers um sicherzustellen, dass sie mit dem richtigen Server kommunizieren und nicht mit einem Man-In-The-Middle. Für die Public Key Authentifizierung sollten Sie also immer einen URI mit Fingerprint verwenden. Um den Fingerprint zu ermitteln benötigen Sie den Public Key des Servers. Wenn Sie nicht selber Administrator des Servers sind, müssen Sie diesen vom Administrator des SFTP Servers anfordern. Mit dem DABiS SFTPUtil können Sie dann den Fingerprint von einem Schlüssel ermitteln.
Achtung seien Sie vorsichtig in der Handhabung mit Schlüsseln. Wenn Sie einen Public Key oder Fingerprint vom SFTP Server erhalten, müssen Sie sich sicher sein, dass der Schlüssel unterwegs nicht von einem Angreifer ausgetauscht wurde.
Sie können mit dem Tool Fingerprints von Private Key oder Public Keys ermitteln. Während Public Keys meistens in einem einheitlichen Format daherkommen, gibt es verschiedene Dateiformate für Private Keys. Für die Verwendung in den DABiS Anwendungen (inkl. DABiS SFTPUtil) muss der Private Key entweder im OpenSSH Format, oder im ssh.com Format vorliegen. Wandeln Sie gegebenenfalls den Private Key in ein unterstütztes Format um (Siehe Umwandlung eines Schlüssels).
Import eines privaten Schlüssels in den KeyStore
Mittels dem Tool DABiS SFTPUtil kann ein Private Key in den KeyStore importiert werden. Wechseln Sie dazu auf das Register KeyStore und wählen Sie den Pfad des KeyStores aus. Das Verzeichnis muss zuvor bereits existieren. Sie können auch manuell eine INI Datei mit dem Namen SFTPUtil.INI erstellen. Darin können Sie den Parameter SSHKeyStoragePath konfigurieren. Damit wird der KeySotre beim Starten der Anwendung automatisch gesetzt.
Für die Verwendung in den DABiS Anwendungen muss der Private Key entweder im OpenSSH Format, oder im ssh.com Format vorliegen. Wandeln Sie gegebenenfalls den Private Key in ein unterstütztes Format um (Siehe Umwandlung eines Schlüssels).
Wenn Sie einen Passwort geschützten Private Key importieren wollen, dann geben Sie zuerst das Passwort des Keys in das Passwort-Feld ein. Wenn der Schlüssel nicht Passwort geschützt ist, lassen Sie das Feld leer (Aber schützten Sie anschliessend den Key. Siehe Private Key mit einem Passwort schützen).
Betätigen Sie nun die Schaltfläche "import" und wählen Sie den zu importierenden Schlüssel aus. Ist der Import erfolgreich, erscheint der Schlüssel in der Liste. Sie können anschliessend einen Verbindungstest mit dem Key durchführen.
Wenn Sie eine DABiS SFTP URI verwenden, in welchem für den Parameter privatekey ein absoluter Pfad angegeben wird, wird der Key bei jedem Verbindungsaufbau automatisch den KeyStore importiert. Diese Verwendung wird jedoch nicht empfohlen. Im Kapitel Verwenden der Public Key Authentifizierung wird Schritt für Schritt erklärt, wie die empfohlene Public Key Authentifizierung verwendet werden kann.
Während Public Keys meistens in einem einheitlichen Format daherkommen, gibt es verschiedene Dateiformate für Private Keys. Für die Verwendung in den DABiS Anwendungen muss der Private Key entweder im OpenSSH Format, oder im ssh.com Format vorliegen. Mit dem Freeware Tool PuTTYgen können Sie einen vorhandenen Private Key in ein unterstütztes Format umwandeln.
•Öffnen Sie dazu einen Private Key mit "File->Load private key".
•Geben Sie ein Passwort ein um den Key zu schützten.
•Exportieren Sie den Key anschliessend mit "Conversions->Export OpenSSH key".
•Wählen Sie einen Speicherort aus um den Key zu sichern.
•Der exportierte Key ist anschliessend mit den DABiS Produkten kompatibel.
Mit dem Tool DABiS SFTPUtil können Sie einen Verbindungstest mittels einer DABiS SFTP URI durchführen. Wenn Sie für die Authentifizierung das Public Key Verfahren verwenden, lesen Sie zuerst das Kapitel "Verwenden der Public Key Authentifizierung" durch.
Geben Sie die URI in das Textfeld ein. Anschliessend können Sie mit der Schaltfläche "parse" die Syntax der URI prüfen. Im Textbereich unten sehen Sie dann, wie die einzelnen Parameter interpretiert werden. Mittels der Schaltfläche "test" können Sie dann einen Verbindungstest durchführen. Bei erfolgreichem Verbindungsaufbau wird die Meldung "connection test successful!" angezeigt.
Der Parameter "FileName" wird für diesen Test nicht verwendet. Es wird also weder geprüft, ob dieser Pfad oder diese Datei vorhanden ist, noch ob der Benutzer irgendwelche Berechtigungen auf die angegebene Ressource besitzt.
Sie können Das SFTPUtil im Sohard Support Center herunterladen. Damit können Sie :
•Finterprints von Public- und Private Keys ermitteln
•Private Keys in den KeyStore importieren
•URI Testen
•Verbindung zum SFTP Server testen
