stable:applicatiebeheer:instellen_inrichten:2way_encryptie_externe_wachtwoorden
Verschillen
Dit geeft de verschillen weer tussen de geselecteerde revisie en de huidige revisie van de pagina.
| Volgende revisie | Vorige revisie | ||
| stable:applicatiebeheer:instellen_inrichten:2way_encryptie_externe_wachtwoorden [2026/07/15 09:28] – aangemaakt - Externe bewerking 127.0.0.1 | stable:applicatiebeheer:instellen_inrichten:2way_encryptie_externe_wachtwoorden [2026/07/15 10:15] (huidige) – aangemaakt - Externe bewerking (Ongeldige datum) 127.0.0.1 | ||
|---|---|---|---|
| Regel 1: | Regel 1: | ||
| + | ====== 2-way encryptie van externe wachtwoorden ====== | ||
| + | Op een aantal plekken in de database van OpenWave zijn externe wachtwoorden opgeslagen die het programma gebruikt voor authenticatie bij berichtenverkeer naar webservices van derden of voor toegang tot een fileshare. | ||
| + | |||
| + | Deze wachtwoorden kunnen nu geëncrypt worden opgeslagen, zodat iemand die toegang heeft tot de database niet direct externe wachtwoorden kan uitlezen. | ||
| + | De encryptie moet door OpenWave ongedaan gemaakt kunnen worden, omdat de ongecrypte versie (plain) gebruikt wordt voor authenticatie. Vandaar 2-weg encryptie. 2-weg encryptie werkt altijd met een secret-key die per OpenWave installatie op de webserver wordt opgeslagen in de file wave.ini in de wsas.conf map. Om deze key in te zien of te wijzigen zijn dus systeembeheerrechten op die webserver-machine nodig. | ||
| + | |||
| + | ===== Encryptie methode (DEPRECATED) ===== | ||
| + | |||
| + | <adm> | ||
| + | De instelling voor de encryptie van wachtwoorden is deprecated: Dit betekent dat de Java niet meer kijkt naar de instelling Encryption - Method. Nu is de methode altijd 3 (ontcrypten met AESkey die te vinden is in de ini-file van OpenWave). Het kan zijn dat er in de toekomst weer 1 bij komt, maar voor nu alleen AESkey encryptie. | ||
| + | </ | ||
| + | |||
| + | Er waren drie manieren waarop een wachtwoord geëncrypt kan worden: | ||
| + | |||
| + | De methode die OpenWave gebruikt is [[openwave: | ||
| + | |||
| + | Deze waarde kan zijn: 1 of 2 of 3. | ||
| + | |||
| + | Indien een andere waarde dan 1, 2, of 3 is ingevuld of wanneer de instelling niet bestaat, dan is de default encryptiemethode 1. | ||
| + | |||
| + | Indien de encryptie methode: | ||
| + | * = 1 dan wordt het ingebrachte wachtwoord **plain** opgeslagen voorafgegaan door ' | ||
| + | * = 2 dan wordt het ingebrachte wachtwoord met de interne sleutelfunctie **RemCrypt** opgeslagen voorafgegaan door ' | ||
| + | * = 3 dan wordt het ingebrachte wachtwoord **AES256** versleuteld opgeslagen voorafgegaan door ' | ||
| + | |||
| + | Doordat het geëncrypte wachtwoord voorafgegaan wordt door de prefix 01_, 02_ of 03_ weet OpenWave hoe het geëncrypte wachtwoord ontsleuteld moet worden. Indien de prefix 01_, 02_ of 03_ ontbreekt dan wordt er uiteraard helemaal niets gedecrypt. | ||
| + | |||
| + | <adm warning> | ||
| + | Het wijzigen van de encryptiemethode betekent niet dat bestaande versleutelingen automatisch aangepast worden. De plain-versie van het te crypten wachtwoord zal opnieuw over de bestaande (al of niet gecrypte) versie heen geschreven moeten worden, waarna het programma de ingevoerde waarde encrypt volgens de op dat moment ingestelde methode. | ||
| + | </ | ||
| + | |||
| + | ===== Welke methode wanneer ===== | ||
| + | |||
| + | * De methode 1 (plain) wordt gebruikt indien er andere programma' | ||
| + | * De methode 2 (RemCrypt) wordt gebruikt indien er andere programma' | ||
| + | * De methode 3 (AES256) wordt gebruikt indien er GEEN andere programma' | ||
| + | |||
| + | ===== Extra restricties ===== | ||
| + | |||
| + | De te encrypten wachtwoorden mogen niet langer zijn dan 158 tekens en alleen karakters mogen gebruikt worden van de ASCII-reeks 32 t/m 126 dat zijn: a-z A-Z 0-9 en een spatie en de tekens: !"# | ||
| + | |||
| + | ===== Foutmeldingen ===== | ||
| + | |||
| + | * Wanneer het encrypten mislukt vanwege te lange string dan komt foutcode 201 in beeld. | ||
| + | * Anders, wanneer encrypten mislukt vanwege andere oorzaak dan komt foutcode 696 in beeld. | ||
| + | * Wanneer het decrypten mislukt wordt een lege string gebruikt als authenticatie. | ||
| + | |||
| + | ===== Voor welke cellen is de 2-way encryptie enabled? ===== | ||
| + | |||
| + | Dit betekent dus, dat wanneer bij onderstaande cellen een nieuwe waarde wordt ingebracht, deze wordt geëncrypt volgens methode 1 of 2 of 3. | ||
| + | * Tabel TbInitalisatie: | ||
| + | * //Sectie: Documenten// | ||
| + | * //Sectie: KOPPELING ZAAK// en //Item: HTTPAuthenticatiePass// | ||
| + | * //Sectie: KOPPELINGDOCNAARDMS// | ||
| + | * //Sectie: KOPPELINGDOCNAARDMS// | ||
| + | * //Sectie: KOPPELINGBAG// | ||
| + | * //Sectie: KOPPELINGGBA// | ||
| + | * //Sectie: KOPPELINGNHR// | ||
| + | * //Sectie: Web.sms// en //Item: password// (password voor endpoint telecomprovider sms-berichten bij inloggen met 2-factor) | ||
| + | * //Sectie: KadasterBAG// | ||
| + | * //Sectie: SingleSignOn// | ||
| + | * //Sectie: Xential// en //Item: password// Opvragen ticketid bij Xential | ||
| + | * //Sectie: Logon// en //Item: externOLOpass// | ||
| + | * //Sectie: koppeling OLO// en //Item: ftps-site// Ophalen gemiste OLO-documenten (paswword ftp site) | ||
| + | * //Sectie: OnlyOffice// | ||
| + | * //Sectie: REV// en //Item: client_secret// | ||
| + | * Tabel tb33gemeente: | ||
| + | * Tabel tbmedewerkers: | ||
| + | |||
| + | Verder kan de encryptiemethode worden aangeroepen vanuit een documentsjabloon. De string < | ||