V tejto kapitole je na príkladoch vysvetlené, ako nakofigurovať spojenie na strane D2000 aplikácie pre potreby Smart Web SmartWeb platformy. Na komunikáciu medzi Smart Web SmartWeb aplikáciou a D2000 sa využíva JAPI knižnica ktorá komunikuje s procesom D2Connector na strane D2000. Predpokladom tejto kapitoly je aktívna D2000 aplikácia (prinajmenšom kernel), ku ktorej sa môžeme pripojiť. Spôsoby pripojenia sú rozdelené do troch kategórií, pričom možnosti z jednotlivých kategórií možno ľubovoľne kombinovať.
...
- Spojenie aktívne nadväzuje Smart Web SmartWeb server(základný spôsob pripojenia). Je to štandardný postup, jednoduchší na použitie a ladenie a je aplikovateľný všade tam, kde to bezpečnostná politika v miestnej sieti dovoľuje.
- Spojenie aktívne nadväzuje D2Connector (reverzné pripojenie). Tento postup sa používa v prípade, že sa Smart Web SmartWeb server nachádza v tzv. „demilitarizovanej zóne" (DMZ) – segmente počítačovej siete, do ktorej je možné nadviazať spojenie aj z lokálneho intranetu aj z vonkajšieho internetu, ale z DMZ von nie je možné nadviazať žiadne spojenie. (Podporované od verzie 10.1.39)
...
- D2Connector sa vždy pripája k „hot" serveru.
- D2Connector je stále pripojený k tomu istému Kernel u bez ohľadu na to, či je „hot" alebo „stand-by server".
Parametre pre spustenie D2Connector-a
D2Connector je proces systému D2000 a je distribuovaný ako konzolová aplikácia (d2connector.exe). Akceptuje štandardné parametre procesov D2000 pre spustenie z príkazového riadku, ktoré sú popísané v Online referenčnej príručke systému D2000. Okrem toho akceptuje nasledovné parametre príkazového riadku:
...
D2Connector nadväzuje spojenie vždy len jedným spôsobom z ôsmych možných kombinácií. Tzn. buď sa aktívne pripája, alebo počúva, ale nie obidvoje naraz. Rovnako komunikuje buď nezabezpečeným alebo zabezpečeným spôsobom, ale nikdy neumožňuje obidva spôsoby súčasne. Buď je pripojený stále k jednému Kernel-u alebo sa prepína na aktuálny „hot". V prípade, že sa ku D2000 aplikácií pripája viac rôznych klientských aplikácií, ktoré vyžadujú rôzne spôsoby pripojenia, je potrebné naštartovať pre každý spôsob samostatnú inštanciu D2Connectora.
Základný spôsob pripojenia
Ide o nezabezpečené spojenie, ktoré iniciuje JAPI.
...
| Blok kódu | ||||
|---|---|---|---|---|
| ||||
> d2connector.exe --CONNECTOR_LISTEN_PORT=3121 |
Nadviazanie reverzného spojenia
Ide o nezabezpečené spojenie medzi D2Connector-om a Smart Web SmartWeb aplikáciou nachádzajúcou sa v DMZ, z ktorej nedokáže iniciovať TCP spojenie. Môže však počúvať na prichádzajúce TCP spojenie, ktoré bude iniciovať D2Connector.
...
| Blok kódu | ||||
|---|---|---|---|---|
| ||||
> d2connector.exe --DCC=portal.dmz.customer.com:3125 |
Nadviazanie zabezpečeného spojenia
Ide o spojenie medzi D2Connector-om a JConnector-om zabezpečené protokolom TLS v1.2. Postup je podobný pre štandardné aj reverzné spojenie, príklad preto zahŕňa obidve možnosti.
Pre nadviazanie TLS spojenia je potrebné, aby bol jeden z účastníkov v roli „TLS servera" a druhý „TLS klienta", pričom tieto roly nie sú závislé na tom, kto inicioval TCP spojenie. „TLS server" sa preukazuje certifikátom, ku ktorému vlastní aj súkromný kľúč. „TLS klient" overuje platnosť certifikátu a pravosť kľúčov5. Pre JAPI je „TLS server" vždy D2Connector a „TLS klient" vždy JConnector.
...
| Blok kódu | ||||
|---|---|---|---|---|
| ||||
> d2connector.exe --CONNECTOR_TLS_CERT=certificate.crt --CONNECTOR_TLS_PK=private.pem |
Vytvorenie certifikátu pre účely zabezpečeného spojenia
Pre vytvorenie „self-signed" certifikátu je možné použiť napríklad aplikáciu OpenSSL z príkazového riadku. Najskôr musíme vytvoriť kľúčový pár pre RSA šifru. V príklade generujeme 2048 bitový kľúčový pár do súboru private.pem.
...