Gespeichert von FileMaker Entwickler am Do, 06/04/2020 - 08:50

FileMaker Server mit SSL Zertifikat

Bei der Einrichtung eines FileMaker Servers muss der FileMaker Entwickler auch die Einrichtung eines SSL Zertifikats berücksichtigen. Im FileMaker Server Paket ist zwar ein SSL Zertifikat vorhanden, dass ist aber nur ein PLatzhalter und für den Betrieb mit echten Daten nicht zu gebrauchen, da die wesentlichste Eigenschaft nicht vorhanden ist: Zwischen Client und Server wird keine verschlüsselte Verbindung hergestellt (erkennbar am roten, "offenen" Schlosssymbol rechts oben im Datei Fenster des Clients).

SSL Zertifikat auch für interne Server?

Während bei einem vom Internet aus zugänglichen Server die Verschlüsselung jedem sofort klar ist, stellt sich die Frage, warum das bei reinen internen Servern erforderlich sein sollte, schließlich "brauchte man früher bei den FileMaker Servern auch keine Verschlüsselung".

Die Anwort ist: Weil sich unser internes Netzwerk (LAN und wLAN) in den letzten Jahren erheblich geändert hat.

Das Ausspähen von Daten kann auch im internen Netz erfolgen, da mittlerweile etliche zusätzliche Geräte im lokalen Netzwerk mitmischen (Stichwort "Internet of Things"). Beispiele:

  • Ein Drucker, Lichtsystem, Smart TV, "Toaster mit wLAN" mit manipulierter Firmware liest fleissig im lokalen Netzwerk mit und "funkt die Daten ins Internet"
  • Die Mitarbeiter sind mit Ihrem Handy im Firmen wLAN angemeldet. Was, wenn das eine oder andere Handy keinen aktuellen Sicherheitspatsch installiert hat und eine Sicherheitslücke per Fernangriff ausgenutzt wird?
  • Es gibt mittlerweile unscheinbare Hardware, die ein Angreifer einfach unauffällig im Netz platzieren kann.

 

Anleitung für interne und externe Server

Wir zeigen in dieser Anleitung, wie man ein SSL Zertifikat für einen FileMaker Server erstellt und einrichtet. Bis auf die Einrichtung der FritzBox Weiterleitung und Aktualisierung des dynamischen Domain Dienstes, ist die Anleitung sowohl für interne, wie externe FileMaker Server anwendbar.

Hinweis: Wenn man sich einen virtuellen Server bei einem Internet Provider mietet, bekommt man in der Regel auch nur eine IP Adresse. Die Einrichtung des DynDNS Dienste erfolgt dann genauso, wie bei internen Servern.

 

Einrichtung eines dynamischen DNS Dienstes

SSL Zertifikate gibt es nur für Server, die per "Namen" erreichbar sind (www.mein-server.de), aber nicht für IP Adressen. Hinzu kommt, dass die meisten keine feste IP Adresse haben und diese vom Internet Provider hin- und wieder geändert wird.

Um trotzdem auf das eigene Netzwerk von außen über das Internet zugreifen zu können, gibt es sogenannte dynamische DNS Dienste. Dynamische DNS Dienste führen einen festen Namen (den man bei der Einrichtung einmalig festlegt) und die sich ändernden IP Nummern (durch ein automatisches Update, dass z.B. von der Fritzbox initiiert wird) zusammen, so dass Anfragen an die Adresse mein-fms.ddnss.de immer auf gerade aktuelle externe IP Adresse des eigenen Netzwerke weitergeleitet wird.

Wir nutzen den Dienst ddnss.de, es gibt aber auch andere. Am bekanntesten ist dyndns.org.

Die Einrichtung eines Accounts, das Anlegen eines eigenen Domainnamens und wie die aktuelle externe IP Adresse von der Fritzbox an den DynDNS Provider gemeldet wird, ist nicht Teil dieser Anleitung, da das bei den DynDNS Provider unterschiedlich ist und aus deren Anleitung übernommen werden kann.

Alternative

Manche Provider (Strato etc.) bieten "Subdomain Forwarding an dynamische IP Adressen" an. Sie können dann zusätzlich zu Ihrer www.meine-firma.de eine weitere Subdomain fms.meine-firma.de einrichten und alle Anfragen an diese Adresse von Ihrem Internet Provider in Ihr heimisches Netzwerk weiterleiten lassen.

Im Gegensatz zu FritzBoxen können Router von Draytek diese Aufrufe dann an einen bestimmten Rechner im Netzwerk weiterleiten.

 

FileMaker Server einrichten und für die Validierung vorbereiten

Der FileMaker Server kann zunächst mit dem mitgelieferten SSL Zertifikat installiert werden. Zu diesem Zeitpunkt kommt es nur darauf an, dass der FileMaker Server läuft, weil der interne Webserver des FileMaker Servers für die spätere Validierung des SSL Zertifikats erforderlich ist.

 

SSL Zertifikat einrichten

Mittlerweile funktioniert der FileMaker Server mit Zertifikaten etlicher SSL Provider. Das Prinzip der Erstellung des Zertifikats sollte bei allen gleich sein:

  1. Am einfachsten ist es, den vom SSL Provider bereitgestellten CSR Generator zu nutzen. Die Erstellung eine SSL Zertifikats mit dem FileMaker Server ist nicht erforderlich (der FileMaker Server akzeptiert später alles, was man beim SSL Provider erstellt hat)
  2. Der CSR Generator erstellt ein CSR (sozusagen das Antragsformular) und den privaten Schlüssel. Den privaten Schlüsel kopiert man aus dem CSR Generator in eine reine Textdatei (Plain .txt, nicht .rtf und nicht Word) und speichert diese auf dem eigenen Rechner ab. Den CSR Code aus dem Generator übernimmt man auf der Webseite des SSL Providers für die Erstellung des SSL Zertifikats.
  3. Der SSL Provider muss durch die Validierung überprüfen, ob die beim CSR gemachten Angaben auch stimmen und bietet dafür verschiedene Validierungsoptionen. Wenn man eine echte eigene Domain hat ginge das per E-Mail. Wenn man die Namensauflösung über einen DynDNS Dienst macht, hat man in der Regel keine "adminatmein-fms [dot] ddnss [dot] de" lautende E-Mail Adresse. Daher erfolgt die Validierung am einfachsten über http (oder https=.

 

Validierung über http

Interner FileMaker Server: Bei der Fritzbox wird für nur zum Zweck der Validierung eine Portweiterleitung von Port 80 (für http) auf den FileMaker Server Rechner eingerichtet.

Bei der Validierung über http wird eine vom SSL Provider konfigurierte Textdatei per Download bereitgestellt. Diese muss auf dem FileMaker Server in einem bestimmten Verzeichnis platziert werden, damit der Validierungsdienst des SSL Provider einmalig durch Aufruf "seiner Datei" auf dem beim CSR angegebenen Server prüfen kann, ob die gemachten Angaben korrekt sind.

Der FileMaker Server stellt einen Webserver bereit, die Validierungsdatei muss dort gegebenenfalls in einem bestimmten Unterordner platziert werden:

  • Der FileMaker Webserver hat sein "Web-Verzeichnis" in FileMaker Server/HTTPServer/htdocs
  • Im Verzeichnis htdocs wird die vom SSL Provider vorgegebene Verzeichnisstruktur angelegt: z.B. das Verzeichnis ".well-known" und darin das Verzeichnis "pki-validation"
  • Sobald die Datei im richtigen Ordner plaziert wurde, wird überprüft, ob alle Ordner und die Validierungsdatei Leserechte für jedermann haben und die Validierungsfunktion auf der Webseite des SSL Providers ausgeführt
  • Nachdem die Validierung erfolgreich war, erhält man vom SSL Provider das SSL Zertifikat (per Download oder E-Mail) und kann die Port Weiterleitung in der Fritzbox entfernen

 

SideMenu - FileMaker Entwickler

SSL Zertifikat im FileMaker Server importieren

Für den Import beim FileMaker Server braucht man

  • Das SSL Zertifikat vom SSL Provider (z.B. die Datei mein-fms.ddnss_de.crt)
  • Das Intermediate Zertifikat (z.B. die Datei mein-fms.ddnss_de.ca)
  • den privaten Schlüssel, der zuvor in die lokale Textdatei gesichert wurde.

Die 3 Dateien werden in der FileMaker Server Admin Konsole > Konfiguration > SSL-Zertifikat importiert

 

SideMenu - FileMaker Entwickler

 

Hosts Datei zur lokalen Namensauflösung (nur intern)

Für einen rein internen Server müssen keine Ports oder Weiterleitungen in der Firewall vorhanden sein. Damit die Rechner den FileMaker Server lokal unter der Webadresse finden, die beim SSL Zertifikat eingetragen sind, muss entweder ein interner DNS Dienst (die Fritzbox hat so etwas nicht, aber andere Router) eingerichtet werden, oder ein Eintrag in der lokalen hosts Datei bei jedem Rechner hinzugefügt werden.

Die hosts Datei befindet sich bei Windows im Verzeichnis %windir%\system32\drivers\etc und beim Mac in /etc/hosts/

Dort fügt man einfach den Eintrag für den internen FileMaker Server hinzu, z.B.
192.168.0.29 mein-fms.ddnss.de #FileMaker Server

Bei einem Aufruf einer FileMaker Datei auf dem Server per Namen erhält man dann das grüne Schlossymbol, obwohl der Server aus dem Internet nicht erreichbar ist.

 

 

 

 

 

 

 

 

Mamtemic GmbH:
FileMaker Entwicklung, FileMaker Programmierung, Individuelle Datenbanklösungen, Speziallösungen, Web Applications, Auswertungen & Berichte, Außendienst Steuerung, Spezial Kalkulationen, Datenkonvertierung, FileMaker Entwickler für die Anpassung und Wartung Ihrer Inhouse Datenbank
FileMaker Development in Hamburg, Deutschland und Europa, FileMaker Consulting in Norddeutschland