Certifikat

Certifikatet du behöver är av samma typ som finns på din kommuns webbsida.

Ett certifikat används för att kunna kryptera kommunikationen för att skydda innehållet från att läcka till obehöriga. För att uppnå säkerheten måste programmet som anropar kunna vara säker på att det verkligen är EDP Mobile server som svarar. Servern identifierar sig med en slags ID-kort som kallas för certifikat.

Precis som att polisen utfärdar ID-handlingar finns det betrodda institutioner som utfärdar certifikat. I exemplet här intill syns den påhittade kommunen Grönköpings certifikat som är signerat av en vanlig certifieringsorganisation, DigiCert Inc.

Certifikat och DNS måste matcha

Namnet i certifikatet (CN) måste matcha datorns DNS-namn där EDP Mobile Server körs. Exempel:

Certifikatets namn (CN): edpmobile.gronkoping.se
Klienten når servern på adressen: https://edpmobile.gronkoping.se:20000

Detta krav finns för att skydda mot man-in-the-middle-attack. Klienterna som ansluter till servern jämför noga adressen de använder för att kontakta servern med adressen som finns i certifikatet de får från servern. Denna jämförelse säkerställer att klienten kan vara säker på identiteten hos servern och förhindrar att någon annan dator utger sig för att vara servern. Annars skulle någon kunna låtsas vara servern och fråga användare efter användarnamn och lösenord.

Så här ser det ut när du installerat ett certifikat på din server.

Är DNS rätt konfigurerad?

Tidigare kunde klienterna nå servern via serverns IP-adress. Men när man använder krypterad kommunikation är DNS-adress ett krav. Er IT-avdelning behöver konfigurera DNS så att det finns ett namn som pekar på den dator som kör EDP Mobile Server. I exemplet intill leder edpmobile.gronkoping.se till 194.75.4.22.

Testa DNS är korrekt inställt:

Starta Powershell på din egen dator (inte på servern).
Skriv Resolve-DnsName som i exemplet intill.
IPAddress är serverns IP-adress.

Testa DNS med Powershell från klientens dator.

Är allt rätt konfigurerat och igång?

Detta test säkerställer att DNS är korrekt inställt, porten är öppen i brandväggen, och att Mobile Server är igång.

Starta Powershell på din egen dator (inte på servern).
Skriv test-netconnection som i exemplet intill. (-p är porten)
RemoteAddress är serverns IP-adress.

Testa DNS med Powershell från klientens dator.

Tidsbegränsning

Certifikat är tidsbegränsade av säkerhetsskäl. När de löper ut ska de bytas. Sen behöver man starta om EDP Mobile Server.

Vad händer när certifikatet löper ut?

Från och med version 2.13 kommer kommunikationen sluta fungera när certifikatet löper ut. Precis som att man ska byta lösenord regelbundet, så ska man byta certifikat regelbundet. Om det är ni som har driften av EDP Mobile Server behöver ni ha rutiner för att byta certifikaet innan de löper ut. Här är frågor ni behöver ha svar på:

Vem ska se till att certifikatet blir bytt?
Vad händer om den personen är sjuk?
Vad händer om den personen är på semester?

Byt certifikat

När det gamla håller på att löpa ut gör du så här:

Stäng Mobile Server
Lägg in nytt certifikat
Ta bort gammalt certifikat
Starta Mobile Server
Kontrollera att det fungerar genom att starta EDP Mobile Admin

Fyra veckor innan certifikatet löper ut får användare denna varning varje gång de startar EDP Mobile Admin.

När certifikatet väl har löpt ut får man detta felmeddelande och Admin startar ej. Fordonsklienterna går att starta, men de kan inte längre ansluta till servern.

Klienter och server

De som kan anropa Mobile Server krypterat:

Mobile Fordon
Mobile Admin
Future via Mobile Proxy

Certifikatet behöver bara installeras på EDP Mobile Server.

Mobile Proxy

Mobile Proxy är en extra part mellan Future och Mobile Server. Den installeras på samma dator som EDP Future server, vilket gör att Future kan kommunicera okrypterat med Mobile Proxy utan risk. Mobile Proxy kommunicerar sedan krypterat med Mobile server.

Page updated

Google Sites

Report abuse