====== Runbook: TLS einrichten ======

<WRAP round info>
**Dauer:** ~15 Minuten \\
**Rolle:** Security-Admin \\
**Voraussetzung:** Zertifikat (PFX oder PEM+KEY)
</WRAP>

HTTPS für das Data Gateway aktivieren.

----

===== Workflow =====

<mermaid>
flowchart TD
    A[Start] --> B{Zertifikat vorhanden?}
    B -->|Nein| C[Zertifikat beschaffen]
    B -->|Ja| D[appsettings.json anpassen]
    C --> D
    D --> E[Gateway neustarten]
    E --> F[HTTPS testen]
    F --> G{Erfolgreich?}
    G -->|Ja| H[HTTP deaktivieren]
    G -->|Nein| I[Logs prüfen]
    H --> J[Fertig]

    style J fill:#e8f5e9
    style I fill:#ffebee
</mermaid>

----

===== 1. Zertifikat beschaffen =====

**Option A: Let's Encrypt (kostenlos)**

<code bash>
# Certbot installieren
sudo apt install certbot

# Zertifikat anfordern
sudo certbot certonly --standalone -d gateway.example.com

# Ergebnis:
# /etc/letsencrypt/live/gateway.example.com/fullchain.pem
# /etc/letsencrypt/live/gateway.example.com/privkey.pem
</code>

**Option B: Selbstsigniert (nur Test!)**

<code bash>
# Selbstsigniertes Zertifikat erstellen
openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365 -nodes \
    -subj "/CN=gateway.example.com"

# In PFX konvertieren
openssl pkcs12 -export -out gateway.pfx -inkey key.pem -in cert.pem -passout pass:changeit
</code>

**Option C: Interne CA**

→ Siehe [[de:int:pqcrypt:szenarien:operator:tagesgeschaeft:zertifikat-ausstellen|PQ Crypto: Zertifikat ausstellen]]

----

===== 2. Zertifikat ablegen =====

<code bash>
# Windows
mkdir %GATEWAY_ROOT%\certs
copy gateway.pfx %GATEWAY_ROOT%\certs\

# Linux
sudo mkdir -p /opt/data-gateway/certs
sudo cp cert.pem key.pem /opt/data-gateway/certs/
sudo chmod 600 /opt/data-gateway/certs/*
sudo chown datagateway:datagateway /opt/data-gateway/certs/*
</code>

----

===== 3. appsettings.json konfigurieren =====

**Mit PFX-Datei:**

<code json>
{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://0.0.0.0:443",
        "Certificate": {
          "Path": "certs/gateway.pfx",
          "Password": "changeit"
        }
      }
    }
  }
}
</code>

**Mit PEM-Dateien:**

<code json>
{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://0.0.0.0:443",
        "Certificate": {
          "Path": "certs/cert.pem",
          "KeyPath": "certs/key.pem"
        }
      }
    }
  }
}
</code>

**TLS-Version erzwingen:**

<code json>
{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://0.0.0.0:443",
        "Certificate": {
          "Path": "certs/gateway.pfx",
          "Password": "changeit"
        },
        "SslProtocols": ["Tls12", "Tls13"]
      }
    }
  }
}
</code>

----

===== 4. Gateway neustarten =====

<code bash>
# Windows
Restart-Service -Name "DataGateway"

# Linux
sudo systemctl restart data-gateway

# Docker
docker restart gateway
</code>

----

===== 5. HTTPS testen =====

<code bash>
# Einfacher Test
curl -k https://localhost/health

# Mit Zertifikat-Prüfung
curl https://gateway.example.com/health

# TLS-Details anzeigen
curl -v https://gateway.example.com/health 2>&1 | grep -E "SSL|TLS|subject|expire"

# OpenSSL-Test
openssl s_client -connect gateway.example.com:443 -servername gateway.example.com
</code>

----

===== 6. HTTP deaktivieren (optional) =====

Nur HTTPS erlauben:

<code json>
{
  "Kestrel": {
    "Endpoints": {
      "Https": {
        "Url": "https://0.0.0.0:443",
        "Certificate": {
          "Path": "certs/gateway.pfx",
          "Password": "changeit"
        }
      }
    }
  }
}
</code>

Oder HTTP→HTTPS Redirect:

<code csharp>
// Program.cs
app.UseHttpsRedirection();
</code>

----

===== 7. Checkliste =====

| # | Prüfpunkt | ✓ |
|---|-----------|---|
| 1 | Zertifikat gültig (nicht abgelaufen) | ☐ |
| 2 | Zertifikat für korrekten Hostnamen | ☐ |
| 3 | Private Key geschützt (chmod 600) | ☐ |
| 4 | HTTPS erreichbar | ☐ |
| 5 | TLS 1.2+ aktiv | ☐ |
| 6 | HTTP deaktiviert oder Redirect | ☐ |
| 7 | Firewall Port 443 offen | ☐ |

----

===== Troubleshooting =====

| Problem | Ursache | Lösung |
|---------|---------|--------|
| ''Unable to configure HTTPS'' | Falscher Pfad | Zertifikat-Pfad prüfen |
| ''Password incorrect'' | Falsches PFX-Passwort | Passwort prüfen |
| ''Certificate expired'' | Zertifikat abgelaufen | Neues Zertifikat |
| ''SSL_ERROR_RX_RECORD_TOO_LONG'' | HTTP statt HTTPS | Port/Protocol prüfen |
| ''NET::ERR_CERT_COMMON_NAME_INVALID'' | CN/SAN falsch | Zertifikat mit richtigem Namen |

----

===== SSL-Test online =====

Für öffentlich erreichbare Server:

  * **SSL Labs:** [[https://www.ssllabs.com/ssltest/|ssllabs.com/ssltest]]
  * **Qualys:** Grade A+ anstreben

----

===== Verwandte Runbooks =====

  * [[.:zertifikat-erneuern|Zertifikat erneuern]] – Renewal-Prozess
  * [[.:firewall-regeln|Firewall-Regeln]] – Port 443 freigeben
  * [[..:monitoring:alerting|Alerting]] – Zertifikats-Überwachung

----

<< [[.:start|← Sicherheit]] | [[.:zertifikat-erneuern|→ Zertifikat erneuern]] >>

----
//Wolfgang van der Stille @ EMSR DATA d.o.o. - Data Gateway Professional//

{{tag>operator runbook tls https zertifikat ssl}}