====== Umstellung der Kommunikation des Clients mit dem Server auf HTTPS ======

Die Umstellung auf eine verschlüsselte Kommunikation mittels HTTPS zwischen ASV-Client und ASV-Server wird schrittweise eingeführt.

===== Umstellung in Release 2.19 =====

Der ASV-Server und der ASV-Client erhalten neue und geänderte Konfigurationsparameter und sind damit technisch in der Lage, sowohl via HTTP als auch via HTTPS miteinander zu kommunizieren.
Die jeweilige Verbindung kann getrennt konfiguriert werden.

Eine unmittelbare Umstellung des ASV-Servers mit dem Update auf 2.19 auf HTTPS würde die ASV-Clients sofort "abhängen". 
Insbesondere das automatische Update der ASV-Clients würde nicht mehr funktionieren.

Der ASV-Client wird in seiner Funktionalität erweitert, sodass zuerst versucht wird, eine verschlüsselte Verbindung aufzubauen.
Gelingt dies nicht, so wird versucht, die Verbindung zum ASV-Server unverschlüsselt (wie bisher) aufzubauen (Rückfallebene).
Das kann beim Start des ASV-Clients zu einer geringen Verzögerung führen.

Dafür ist kein Eingriff am ASV-Server oder ASV-Client erforderlich.

===== Umstellung in Release 2.20 =====

Dann wird der ASV-Server durch das Update so umkonfiguriert, dass die Kommunikation über HTTP deaktiviert wird und die HTTPS Kommunikation über den selben Port (8765) erfolgt.

Alle ASV-Clients in der Version 2.19 oder höher können dann bereits das automatische Update über HTTPS ziehen und auch der Austausch der fachlichen Daten erfolgt verschlüsselt.

Wenn ein ASV-Client in der Zwischenzeit nicht gestartet / aktualisiert wurde, dann wird das ASV-Client-Update auch nicht mehr automatisch funktionieren.
In dem Fall muss entweder eine Neuinstallation oder ein manuelles Update des ASV-Clients erfolgen.
Es gibt auch die Möglichkeit das Update oder die Neuinstallation des ASV-Client mittels [[alle:technik:install:client:unattended|Unattended-Installer]] zu automatisieren.

Damit ist dann ohne administrativen Eingriff die Umstellung auf eine verschlüsselte Kommunikation mittels HTTPS erfolgt.

===== Sonderfall: Protokollabhängige Netzwerkkonfiguration =====

Moderne Netzwerkkomponenten können auf das verwendete Protokoll reagieren.
Das ist beispielsweise bei Loadbalancer und Reverse-Proxy notwendig.
Aber auch beispielsweise Proxy-Server und Firewalls können so konfiguriert werden.

Falls derartige Komponenten zwischen ASV-Client und ASV-Server im Einsatz sind, 
sollte deren Konfiguration vom Netzwerkadministrator geprüft werden.

Wenn in Ihrer Netzwerkinfrastruktur möglich, dann können Sie beide Protokolle für die Übergangszeit zulassen.
Alternativ kann das verwendete Protokoll zum Zeitpunkt der Umstellung des ASV-Servers (ASV-Update auf Release 2.20) auf HTTPS umgestellt werden.

Eine weitere Möglichkeit besteht darin, auf dem bisherigen Port (Standard: 8765) weiterhin per HTTP zu kommunizieren
und auf einem weiteren Port (z. B. 8763) die Kommunikation über HTTPS einzurichten.

Hierfür sind folgende Schritte erforderlich:
  * Die Konfiguration des ASV-Servers für HTTPS auf Port 8763 muss über den Zeitpunkt des Updates auf 2.20 erhalten bleiben.
  * Die Konfiguration des ASV-Client muss auf den zusätzlichen Port 8763 für HTTPS konfiguriert werden.
  * Freischaltung des zusätzlichen Ports 8763 für das HTTPS Protokoll.
  * Ggf. entsprechende Konfiguration von Load-Balancer und/oder Reverse-Proxy

Am ASV-Server muss die ''config.local.ini'' um folgenden Eintrag (sinngemäß) ergänzt werden:

<file ini config.local.ini>
# ASV-Server für HTTPS konfigurieren
http.server.https.port=8763
http.server.https.enabled=true
</file>

Am ASV-Client muss die ''config.local.ini'' um folgenden Eintrag (sinngemäß) ergänzt werden:

<file ini config.local.ini>
# Update
update.server.secure=https://asv-server:8763/svp/update

#DSS
server.url.secure=https://asv-server:8763/svp
</file>

Die Verteilung der config.local.ini an alle ASV-Clients kann //nicht// durch das automatische ASV-Update vorgenommen werden. Falls eine automatische Bereitstellung gewünscht ist, muss diese unabhängig (z. B. via Softwareverteilung) erfolgen.

Mit diesem Vorgehen wird die Umstellung auf HTTPS sofort wirksam.

===== Sonderfall: Am ASV-Client gibt es bereits eine config.local.ini zur Konfiguration der ASV-Server-Adresse =====

Dies kann z.B. der Fall sein, wenn ein neuer ASV-Server installiert wurde und die ASV-Clients mittels ''config.local.ini'' auf den neuen ASV-Server umgestellt wurden.

In dem Fall sollte die ''config.local.ini'' bei allen ASV-Clients ergänzt werden.

Wenn die ''config.local.ini'' bisher (sinngemäß) so aussieht:

<file ini config.local.ini>
# Update
update.server=http://asv-server2:8765/svp/update

#DSS
server.url=http://asv-server2:8765/svp
</file>

dann muss die Datei (sinngemäß) wie folgt ergänzt werden:

<file ini config.local.ini>
# Update
update.server=http://asv-server2:8765/svp/update
update.server.secure=https://asv-server2:8765/svp/update

#DSS
server.url=http://asv-server2:8765/svp
server.url.secure=https://asv-server2:8765/svp
</file>