Informationen zur Verschlüsselung NAV ADCS ab Version 5.0

  • Article
Hintergrund:

ADCS (Automated Data Capture Systems) oder auch MDE (Mobile Datenerfassung) genannt offeriert dem Benutzer mobilen Zugang zur Datenbank um Business kritische Prozesse schnell und einfach zu bearbeiten. Die Kommunikation/ Datenübertragung sollte/ muss daher gesondert geschützt sein.

Um diese Kommunikation abzusichern haben wir eine Verschlüsselungsmethode mit Version 5.0 eingeführt welche es erlaubt den Datenkanal zwischen VT100 (Plugin) und NAS abzusichern/ zu verschlüsseln.

Berücksichtigen werden muss aber das hier nur die Verbindung zwischen VT100 Plugin und NAS mittels TCP Sockets abgesichert wird, nicht aber die restliche Kommunikation. Bei Wireless Handheld/ Scannereinheiten empfehle ich daher das Netzwerke ebenso mit bekannten Verschlüsselungsmethoden * 1 abzusichern. Weitere Informationen dazu finden Sie bei den jeweiligen Herstellern Ihrer Hardware.

   * 1 Bsp.: WPA2, WEP (40 or 128 bit), TKIP, TLS,
TTLS (MS-CHAP), TTLS (MS-CHAP v2),
TTLS (CHAP), TTLS-MD5, TTLS-PAP,
PEAP-TLS, PEAP (MS-CHAP v2), AES, LEAP usw....

Die Schlüssel/ Keys:

Das neue Verschlüsselungssystem ist ähnlich dem bekannten Verschlüsselungsprotokol SSL (Secure Sockets Layer) aufgebaut. Das heißt die Kommunikation basiert auf Basis des asymmetrischen Verschlüsselungsverfahren (public/ private Keys) zur Initialisierung des Handshakes.

Desweiteren wird eine symmetrische Verschlüsselung zur weiteren Kommunikation verwendet.

Bevor das alles funktioniert muss ein Schlüsselpaar (Keys) im Navision Client erzeugt werden. Ohne diese Schlüssel kann keine Verbindung hergestellt werden und Sie erhalten eine Fehlermeldung im Hyperterminal/ Telnet oder Handheld Gerät beim verbindungsversuch:

NAS 

 
Folgende Punkte sind also zu beachten:

- Der Windows Benutzer der die Keys erzeugt muss auch dem NAS Konto entsprechen mit dem der NAS gestartet wird (sollte das NAS Konto mal geändert werden, ein anderer Benutzer wird eingetragen, müssen auch die Keys neu erstellt und verteilt werden).

In diesem Zusammenhang beachten Sie bitte evtl. weitere verfügbare NAS Dienste auf weiteren Servern für jene das gleiche Prozedere gilt.

- Nach dem erstmaligen erstellen der Schlüssel/ Keys müssen Sie den Public Key ggfls. extern laufenden VT100 Diensten bekannt machen. Mehr dazu nachfolgend in der Schritt für Schritt Anleitung.

- Der Dienst VT100 läuft Standardmäßig mit Konto „Lokales Systemkonto“. Theoretisch könnten Sie aber jedes beliebige Konto verwenden solange der Zugriff auf Registry und Netzwerk gewährleistet ist.

- Der Public Key wird beim erstellen durch den entsprechenden Windows Benutzer verschlüsselt und kann daher auf den Client Geräten verteilt werden.

Schritt für Schritt Anleitung zum erzeugen und hinterlegen der Schlüssel/ Keys:

Nachfolgend beschreibe ich Ihnen wie die Schlüssel/ Keys in einer ADCS 5.0 Installation angelegt werden:

1. Auf dem Server welcher einen oder mehrere NAS hostet loggen Sie sich mit einem NAV 5.0 Client mit Windows Authentifizierung in eine beliebige 5.0 Datenbank ein.

2. Im Navigationsbereich unter

Verwaltung\ Anwendung Einrichtung\ Lager\ Einrichtung – MDE

öffnen Sie Form 7708 (MDE-Verschlüsselung), wählen eine Schlüssellänge aus und bestätigen die Erstellung der Schlüssel mittels dem „Schlüssel erstellen“ Menüpunkt. Es wurden jetzt 2 Schlüssel in die Registry geschrieben (nachfolgender Screenshot).

3. Im Falle der VT100 Dienst wird extern, also <> dem Host in jenem die Schlüssel erzeugt wurden betrieben, müssen Sie den "Public Key" Schlüssel, am besten die ganze Zeichenfolge, kopieren und in die Registry des weiteren Hosts im Schlüssel ADCSNASx welcher mit Installation des ADCS angelegt wird/ wurde, einfügen.

Ebenso ist hier dann die korrekte Bezeichnung des „SocketServerName“* von Bedeutung. Wenn diese Zeichenfolge nicht vorhanden sein sollte legen Sie Sie manuell an (Name: Zeichfolge/ String Value) (Wert: Servername:port)

Bsp.:                                                                                        SocketServerName     REG_SZ     TEST:6666

*Im generellen (bei lokalen Systemen) ist der SocketServerName als optional zu betrachten. Der Eintrag selbst signalisiert dem System zu welchem Server verbunden werden soll (Server:Port).

Auch hier ist zu beachten das beide Systeme (NAS und VT100) korrekt installiert sein müssen, evtl. Blockierungen durch eine Firewall berücksichtigt sind.

Symbol ADCS 

Benjamin Leposa

Microsoft Dynamics Germany
Microsoft Customer Service and Support (CSS) EMEA