Freigabe Netzwerk
- Die Ports der BPE müssen in der Firewall offen sein: standardmässig sind dies
8085
für TEST und8088
für PROD - HTTP-Betrieb der BPE intern (unverschlüsselte Kommunikation), App ist so nur intern im Netz verwendbar (nur Android wird unterstützt)
- Testmöglichkeit: vom Handy aus prüfen ob auf Swagger zugreifen kann
- Swagger Zugriff: URL des Servers eingeben und danach /swagger
- Es kann sein, dass nach Benutzername und Passwort gefragt wird
- HTTPS-Betrieb der BPE mit offiziellen oder selbst-signierten (nicht empfohlen, nur Android-Betrieb möglich) SSL-Zertifikaten via:
- Reverse Proxy (empfohlen) - Variante 1 (Voraussetzung für iOS)
- BPE mit HTTPS Variante 2 (individuelle Konfiguration, nicht empfohlen, weitere Infos unten)
Variante 1 - Reverse Proxy mit offiziellem Zertifikat
Diese Variante wird seitens I-AG als bevorzugte Lösung kommuniziert. Die Empfehlung deckt sich mit der für Webshops propagierten Standardlösung. Die HTTPS-Kommunikation endet beim Reverse Proxy; die Kommunikation zwischen Reverse Proxy und BPE erfolgt (meist) mit unverschlüsseltem HTTP.
Erhöhte Sicherheit aufgrund vorgeschaltetem Reverse Proxy
Zentrale SSL-/Zertifikatsverwaltung auf Reverse Proxy (keine self-signed Zertifikate)
BPE muss sich nicht um SSL-Thematik kümmern
Keine zusätzliche Konfiguration in BPE nötig (Betrieb in "normalem" HTTP)
Zusätzliche Infrastruktur nötig
Variante 2 - BPE mit HTTPS mit self-signed Zertifikat
Grosses Sicherheitsrisiko! Wird nur mit Android und der Einstellung “Allow unsecured connection” unterstützt. Bessere Variante wäre alles HTTP (auch nur Android unterstützt).
Die HTTPS-Kommunikation endet bei der BPE. Dazu muss HTTPS in der Konfigurationsdatei der BPE /wiki/spaces/TD/pages/15598374.
Einfaches Setup
Keine zusätzliche Infrastruktur nötig
Verwendung von self-signed Zertifikaten möglich (werden durch Identity Server innerhalb der BPE automatisch erzeugt)
Konfiguration der BPE muss angepasst werden (Betrieb in HTTPS)
BPE ist, je nach Konfiguration, direkt vom Internet aus erreichbar
Bei Verwendung von self-signed Zertifikaten stark erhöhte Angreifbarkeit
Erstellung und Konfiguration von offiziellen SSL-Zertifikaten potentiell schwierig (Erfahrung mit Boissons Liechti)
Hinterlegung BPE-Endpunkte im VinX I-AG
- Auf Adresse des Kunden unter Reite Mobile die relevanten BPE-Endpunkte (URL) konfigurieren.