CSSv5.0.0 de:Erweiterte Cryptshare Konfiguration

Aus Cryptshare Documentation
Wechseln zu:Navigation, Suche



Cryptshare Systemeinstellungen

Durch Anlegen einer zusätzlichen Konfigurationsdatei mit Namen 'cryptshare.properties' im Cryptshare Installationsverzeichnis können bestimmte Teile des Cryptshare Servers in ihrem Verhalten beeinflusst werden. Diese Einstellungen sind zur Nutzung bei Fehlverhalten innerhalb der Cryptshare Anwendung vorgesehen. Zum jetzigen Zeitpunkt existieren Einstellungen für die folgenden Bereiche:

  • Überspringen von Schritten während des Bereinigungsvorganges (Cleanup Task)
  • Größe des Threadpools für den Verschlüsselungsvorgang
  • Maximaler Timeout für das Warten des BackupTasks
cryptshare.properties existiert nicht
Standardmäßig ist die Datei 'cryptshare.properties' nicht Teil der Cryptshare Installation und muss zunächst angelegt werden:
  1. Öffnen Sie das Cryptshare Installationsverzeichnis und legen Sie die Datei 'cryptshare.properties' an.
  2. Legen Sie die gewünschten Einstellungen an. Erstellen Sie einen Parameter pro Zeile nach folgendem Schema:

<Schlüssel>=<Wert>

  1. Speichern Sie die Änderungen


Neustart des Systems
Bitte beachten Sie, dass die Änderungen erst nach einem Neustart des Systems wirksam werden.


Mustervorlage einer cryptshare.properties Datei
cryptshare.properties - Beispieldatei
# DE: weitere Hilfe: https://wiki.cryptshare.com/x/UgBC
com.befinesolutions.cryptshare.html5.client.maxerrors = 100
com.befinesolutions.cryptshare.threadPoolSize = 150



Datenbank

Datenbank-Verbindungspool

Abhängig von den Anforderungen Ihres Cryptshare Servers und der zu erwartenden Last kann es notwendig sein, die Ressourcenzuweisung für die Datenbank zu erhöhen.

Berechnen der Poolgröße

Die folgende Formel kann zur Berechnung einer geeigneten Poolgröße verwendet werden:

(cpu_kern_anzahl * 2) + 1

Hier sind einige Beispiele mit aufgerundeter Poolgröße:


CPU Kerne 2 4 8 16
Poolgröße 5 10 20 35
Beachten Sie, dass sich sowohl eine zu kleine als auch eine zu große Poolgröße negativ auf die Leistung auswirken kann. Wenn die Poolgröße zu klein ist, werden die verfügbaren Systemressourcen nicht voll ausgeschöpft und Anfragen müssen möglicherweise warten, bis der Pool Verbindungen freigibt. Wenn die Pool-Größe zu groß ist, können sich die Anfragen verlangsamen, da sie sich CPU-Kerne teilen müssen.


Database Optimization

com.cryptshare.server.database.connection.maxPoolSize=<int>
com.cryptshare.server.database.connection.minIdlePoolSize=<int>
 
Standardwert: '5' (Beide) <int> : Numerischer Wert für die maximale Poolgröße.



Überspringen von Bereinigungsschritten

Der Bereinigungsvorgang besteht aus mehreren Schritten, die in zeitlicher Abfolge hintereinander durchgeführt werden. Kann einer dieser Schritte aufgrund von Inkonsistenzen oder internen Datenbankfehlern nicht ordnungsgemäß beendet werden, oder bleibt hängen, so kann der betroffene Schritt übersprungen werden, damit der Rest des Bereinigungsvorganges abgeschlossen werden kann.

Beachten Sie bitte, dass das Überspringen von Bereinigungsschritten nicht empfohlen wird, solange keine Fehler auftreten, welche den Bereinigungsvorgang davon abhalten, die Prozedur abzuschließen.


Schritte, welche übersprungen werden können

Um herauszufinden, welcher Ausführungsschritt für ein Fehlverhalten verantwortlich ist, kann das Systemlog überprüft werden, und dieser Schritt anschließend mittels des entsprechenden Parameters deaktiviert werden.


LockData Bereinigungsschritt


com.befinesolutions.cryptshare.cleanup.skip.lockData = <true|false>

LockData ist ein interner Datensatz, welcher die Anzahl fehlgeschlagener Passworteingaben im Downloadbereich aufzeichnet. Diese Daten werden vom System entfernt, sobald sie nicht mehr benötigt werden, zum Beispiel wenn ein Transfer abgelaufen ist.

Verification Bereinigungsschritt


com.befinesolutions.cryptshare.cleanup.skip.verifications = <true|false>

'Verification'-Datensätze repräsentieren den serverseitigen Teil eines verifizierten Benutzers. Abgelaufene Verifizierungen werden vom System entfernt.

Dieser Schritt kann ohne Risiko deaktiviert werden, führt jedoch zu einem Anwachsen der Datenbank durch Datensätze, die nicht mehr benötigt werden.


Dieser Schritt kann ohne Risiko deaktiviert werden, führt jedoch zu einem Anwachsen der Datenbank durch Datensätze, die nicht mehr benötigt werden.



Timeout für den Wartevorgang des BackupTask

Sofern das Datenbankbackup aktiviert wurde, ist der BackupTask so eingerichtet, dass auf den Abschluss anderer Tasks gewartet wird, bevor das Backup durchgeführt wird. Sollte einer dieser Tasks jedoch nicht ordnungsgemäß abgeschlossen werden, würde der BackupTask endlos im Wartezustand verbleiben. Die Einstellung für den maximalen Timeout legt fest, dass der BackupTask mit dem Backup fortfährt, auch wenn sich noch andere Tasks in der Ausführung befinden. Die Standardeinstellung liegt bei 60 Minuten.

Parameter zur Steuerung der Wartezeit des BackupTask

com.befinesolutions.cryptshare.backup.maxWait = <int>
<int> : Numerischer Wert für den Timeout in Minuten
Standardwert: 60



Performanceanpassungen

Threadpool für die Verschlüsselung

Die Größe für den Cryptshare Verschlüsselungs-Threadpool legt die maximale Menge von parallelen Verschlüsselungsvorgängen für Cryptshare Transfers fest. Die Standardeinstellung ist auf 50 festgelegt. Dies bedeutet, dass bei einem Cryptshare Server mit dieser Einstellung 50 parallele Verschlüsselungsvorgänge initiiert werden können. Der nächste Vorgang, welcher dieses Maximum überschreiten würde, gerät in eine Warteschleife und wird ausgeführt, sobald wieder ein Thread aus dem Pool verfügbar ist.

Beachten Sie bitte, dass diese Einstellung einen großen Einfluss auf die CPU-Last nimmt!
  • Ein hoher Wert für diesen Parameter ERHÖHT die CPU-Last
  • Ein niedriger Wert für diesen Parameter VERRINGERT die CPU-Last


Ändern Sie diesen Wert nur, falls Fehler während des Verschlüsselungsvorganges auftreten. Zum Beispiel bei unterbrochenen Verschlüsselungsvorgängen.


Parameter zur Festlegung der Threadpoolgröße

com.befinesolutions.cryptshare.mainPoolSize = <int>
<int>: Numerischer Wert zur Festlegung der Threadpoolgröße
Standardwert: 50


Download-Entschlüsselungspuffer

Cryptshare arbeitet mit einer AES-Verschlüsselung. Dieser Algorithmus ist dafür bekannt, deutlich mehr Ressourcen für die Entschlüsselung als für die Verschlüsselung zu brauchen. Abhängig davon, wie das System hauptsächlich genutzt wird, kann eine Änderung der Puffergröße entweder die CPU/Speicher-Nutzung erhöhen oder verringern.


Der Standardwert für den Entschlüsselungspuffer liegt bei 2MB. Dies ist ein guter Wert um sowohl kleine als auch große Dateien zu behandeln. Wird der Server hauptsächlich für große Dateien verwendet, so kann das Vergrößern des Puffers zu einer merkbaren Verbesserung der CPU-Auslastung führen. Eine Erhöhung der Speichernutzung ist allerdings die Folge.

Bitte behandeln Sie diesen Parameter mit Vorsicht, da er einen großen Einfluss auf CPU- und Speichernutzung haben kann.


Parameter für die Größe des Entschlüsselungspuffers

com.befinesolutions.cryptshare.decrypt.buffer = <int>
<int>: Numerischer Wert zur Größenangabe des Entschlüsselungspuffers in bytes.
Standardwert: 2097152 (2MB)


Download-Verzögerung

Unter hoher Last reduziert der Cryptshare Server die Entschlüsselungsgeschwindigkeit von Dateien, die heruntergeladen werden, um die Erreichbarkeit des Cryptshare Servers zu verbessern. Dieses Verhalten kann deaktiviert werden, falls Probleme damit auftreten.

Diese Einstellung kann auf "false" gesetzt werden, ohne den Server neu starten zu müssen - die Änderungen werden direkt angewendet. Wenn der Wert auf "true" gesetzt wird, ist ein Neustart erforderlich.


Parameter für die Größe des Entschlüsselungspuffers

com.befinesolutions.cryptshare.decrypt.delay=<true|false>

HTML5 Transfereinstellungen

Parallele HTML5 Upload Streams

Der HTML5 Transfermodus ist in der Regel deutlich schneller als die anderen Transfermodi, da er die Transferrate dynamisch optimiert und bis zu 5 Dateien parallel hochlädt, falls möglich. Dies kann jedoch zu einer hohen I/O Aktivität auf der Serverseite führen, insbesondere für Server mit herkömmlichen Festplatten (keine SSD).


Bitte ändern Sie diesen Parameter nur bei Performanceproblemen wie abgebrochenen HTML5-Uploads aufgrund hoher I/O-Last oder CPU-Last.

Bitte beachten Sie auch, dass das Verkleinern dieses Wertes die HTML5-Uploadrate verlangsamen wird.

Ab Cryptshare Version v4.1.3 wird die Menge der parallelen Uploads bei einer langsamen Verbindung automatisch reduziert.


Parameter für parallele HTML5 Uploadstreams

com.befinesolutions.cryptshare.html5.client.parallel = <int>
<int>: Numerischer Wert zur Festlegung der maximalen Anzahl paralleler HTML5 Uploadstreams.

Standardwert: 5

Maximum: 5


HTML5 Cleanup-Tracker Timeout

Im HTML5 Transfermodus wird jeder Upload-Stream durch einen Cleanup-Tracker überwacht, welcher sicherstellt, dass Uploaddateien von unterbrochenen Transfers vom System entfernt werden.

Bei einer schlechten Internetverbindung kann jedoch die Standardeinstellung von 10 Minuten zu kurz sein und laufende HTML5-Uploads werden unterbrochen, bevor der Upload vollständig ist.

Um dieses Verhalten zu vermeiden, kann die Standardeinstellung erhöht werden.


Cleanup Tracker Timeout

com.befinesolutions.cryptshare.html5.server.timeout = <int>
<int>: Numerischer Wert zur Festlegung des Timeouts in Minuten.

Standardwert: 10

Maximum: 60


HTML5 Client Fehler-Counter

Der HTML5 Transfermodus kann Transfers aufrecht erhalten, sogar wenn die Verbindung unterbrochen wird oder die Verbindung so schlecht ist, dass viele Requests in einen Timeout laufen.

Tritt solch ein Fehler auf, so wird der Client so lange die fehlgeschlagenen Pakete erneut senden, bis entweder alle Pakete erfolgreich übertragen wurden oder der Fehler-Counter überschritten ist. Wurde die maximale Anzahl an Fehlern erreicht, so bricht der Client den Transfer ab.

Tritt dieses Problem häufig bei Ihren Clients auf, so kann das Maximum für den Fehler-Counter erhöht werden, sodass Clients einen Transfer nicht so schnell unterbrechen.


HTML5 Client Fehler-Counter

com.befinesolutions.cryptshare.html5.client.maxerrors = <int>
<int>: Numerischer Wert zur Festlegung des Fehler-Counters

Standardwert: 100

Erlaubt: 20-5000



LDAP-Einstellungen

Verbindungspool

Zur Steigerung der Performance von LDAP-Abfragen verwendet Cryptshare einen sogenannten Verbindungspool. Dabei handelt es sich um eine Anzahl von bereits aufgebauten Verbindungen zum LDAP-Server, die bei Bedarf verzögerungsfrei verwendet und wiederverwendet werden können. Die Anzahl der mindestens (initial) und maximal gleichzeitig aufgebauten Verbindungen lässt sich über Parameter steuern.

Initiale Anzahl Verbindungen

com.befinesolutions.cryptshare.ldap.initialConnections = <int>
Maximale Anzahl Verbindungen

com.befinesolutions.cryptshare.ldap.maxConnections = <int>
<int>: Numerischer Wert zur Festlegung der Anzahl Verbindungen.

Standardwert initiale Anzahl: 5

Standardwert maximale Anzahl: 20


Timeouts

Als Timeout wird eine Zeitspanne bezeichnet, die für eine bestimmte Tätigkeit zugelassen ist, bevor sie abgebrochen wird. Im Zusammenhang mit LDAP-Abfragen gibt es zwei konfigurierbare Timeouts: Verbindungstimeout: Zugelassene Dauer eines Verbindungsaufbaus zum LDAP-Server. Abfragetimeout: Zugelassene Dauer einer einzelnen LDAP-Abfrage.

Verbindungstimeout

com.befinesolutions.cryptshare.ldap.connectTimeout = <int>
Abfragetimeout

com.befinesolutions.cryptshare.ldap.responseTimeout = <int>
<int>: Numerischer Wert zur Festlegung der Dauer in Millisekunden.

Standardwert Verbindungstimeout: 5.000 (5 Sekunden)

Standardwert Abfragetimeout: 20.000 (20 Sekunden)


Verweise (Referrals)

Manche LDAP-Verzeichnisse sind partitioniert/verteilt und enthalten dann Einträge, die auf andere Verzeichnisserver verweisen (sog. Referrals). Optional kann die automatische Auflösung dieser Verweise durch eine zusätzliche aufgebaute LDAP-Verbindung aktiviert werden. Enthält der aufgelöste Verweis wiederum einen Verweis, wird dieser in keinem Fall aufgelöst.

Die automatische Auflösung von Verweisen ist in den Versionen 3.11.0.X und 3.11.1.X aktiviert (nicht konfigurierbar) und ab Version 3.11.2.X als Vorgabe deaktiviert. Bitte beachten Sie, dass eine Aktivierung Auswirkungen auf die Performance von LDAP-Abfragen haben kann.


Auflösung von Verweisen

com.befinesolutions.cryptshare.ldap.followReferrals = <true|false>
Standardwert: false (Deaktiviert)



Sicherheitseinstellungen: Rate Limiting

Rate Limiting für das Anfordern von Verifizierungscodes

Zur Vermeidung von DoS-Angriffen und daraus folgendem Missbrauchs des E-Mail-Servers, ist ein Rate Limit bei Anfragen von Verifizierungscodes aktiv. Die Zahl der pro Minute anforderbaren Verifizierungscodes wird standardmäßig auf 25 eingeschränkt.

Info
Für den Umgang mit Rate Limit-Anfragen per Webservice-Schnittstelle stehen zusätzliche Response Header zur Verfügung. Details finden sich auf der Seite Rate Limiting.


Parameter zum Setzen des Rate Limits zum Anfordern von Verifizierungscodes

com.befinesolutions.cryptshare.verification.verificationsPerMinute=<int>
<int>: Numerischer Wert, der die Zahl der maximalen Anforderungen nach Verifizierungscodes pro Minute regelt.

Standard: 25

Dieses Feature kann deaktiviert werden, indem der Wert auf 0 gesetzt wird.



Verarbeitung von EML Dateien

Priorisierung von Dateitypen bei der EML Archivierung und im EML Download

Bei der EML Archivierung und beim EML Download ist es möglich, eine maximale Gesamtgröße aller Anhänge die in die EML-Datei eingebettet werden anzugeben. Überschreiten die Anhänge diese Größe, so werden die Anhänge anhand einer Prioritätenliste von Dateityperweiterungen an die EML-Datei angehängt, wobei die Priorität der Dateityperweiterungen am Anfang am höchsten ist. Dateityperweiterungen die nicht aufgelistet werden haben die niedrigste Priorität. Wenn eine leere String als Prioritätenliste genutzt wird, wird diese Priorisierung der Dateityperweiterungen deaktiviert.

Info
Weitere Informationen zur EML Archivierung finden sich auf der Seite Aktivieren der Archivierung.


Parameter zum Setzen der Prioritätenliste der Dateianhänge bei Überschreiten der Maximalgröße

com.cryptshare.eml.attachmentFileTypeOrder=<csv>
<csv>: Komma-separierte Liste von Dateiendungen Standard: eml,pdf,docx,doc,xlsx,xls,txt,ppt,pptx



Weitere Konfigurationsparameter

XML Serviceschnittstelle: Passwortvalidierung

Mit Cryptshare v3.10.1.0 wird die XML Serviceschnittstelle, genutzt durch den Cryptshare Robot und Cryptshare for Outlook 1, Cryptshare for Notes (bis v2.9.x), Transferpasswörter validieren. Erfüllt das angegebene Passwort nicht die Sicherheitsanforderungen des Servers, so wird der Transfer abgelehnt. Für diese Produkte kann die Passwortvalidierung deaktiviert werden, da sie nicht in der Lage sind, Passwörter gemäß den Sicherheitsrichtlinien zu erzeugen oder zu validieren. Dies kann zur Folge haben, dass Transfers abgelehnt werden, obwohl der Client das angegebene Passwort akzeptiert hat.

Parameter zur Abschaltung der Passwortvalidierung für die XML Serviceschnittstelle

com.befinesolutions.cryptshare.xmlservice.validatePW = <true|false>
Standardwert: true



Aufräumen verwaister temporärer Uploaddateien

Während des Dateiuploads werden diese Daten in ein temporäres Uploadverzeichnis geschrieben. Aus technischen Gründen kann es jedoch vorkommen, dass diese Dateien hinterher nicht gelöscht werden. Aus diesem Grund wird ein zusätzlicher Bereinigungsschritt während der Ausführung des Bereinigungsvorganges ausgeführt, welcher dafür Sorge trägt, diese Dateien von der Festplatte zu entfernen sofern sie älter als 24 Stunden sind.

Parameter zur Abschaltung des Aufräumens verwaister temporärer Dateien

com.befinesolutions.cryptshare.cleanup.skip.tmpfiles = <true|false>
Standardwert: true



Häufigkeit der Logeinträge für laufende Uploads

Damit der Administrator besser in der Lage ist laufende Uploads zu bemerken, wird nach dem Erreichen einer bestimmten Zahl von Upload-Requests ein informeller Logeintrag geschrieben. Ein Datei-Upload besteht dabei in der Regel aus mehreren Upload-Requests. Die Zählung erfolgt Transfer-übergreifend.

INFO  2016-04-29 08:45:51 CS3System - (com.befinesolutions.wicket.request.HTML5FileItemFactory@1771fb9f) - Cryptshare upload in progress.

Abhängig von der Uploadaktivität dieses Servers können dies entweder zu viele oder zu wenige Einträge sein. In beiden Fällen kann der Zähler für dieses Feature entsprechend angepasst werden.

Parameter zur Kontrolle der Häufigkeit von Logeinträgen zu aktiven Uploadvorgängen

 com.befinesolutions.cryptshare.upload.logverbosity = <int>
<int>: Numerischer Wert zur Festlegung, nach wie vielen Upload-Requests ein Log-Eintrag erfolgen soll. Standardwert: 1.000



Durchführung eines Backups vor dem Update

Für gewöhnlich wird vor der Durchführung eines Updates ein Rollback-Kompatibles Backup angelegt. Sollte das Backup nicht korrekt funktionieren und dadurch die Durchführung des Updates verhindern, so kann dieser Schritt deaktiviert werden.

Parameter zur Aktivierung des Backups vor dem Update

com.befinesolutions.cryptshare.update.backup = <true|false>
Standardwert: true



Maximale Transfergröße der Dateivorschau

Die Dateivorschau im Downloadbereich von Cryptshare öffnet Dateien, nur wenn sie maximal 2MB groß sind. Aus Sicherheitsgründen werden Dateien ausschließlich im Arbeitsspeicher geöffnet, was den Speicherverbrauch massiv erhöhen kann.

Bitte beachten Sie, dass abhängig vom verfügbaren Arbeitsspeicher und dem durchschnittlichen Benutzerzugriff der Speicherverbrauch drastisch ansteigen kann, wenn diese Einstellung erhöht wird.


Dieser Wert wird auch für die Anzeige der vertraulichen Nachricht auf der Downloadseite herangezogen.


Erhöhen der maximalen Dateigröße für die Dateivorschau

com.befinesolutions.cryptshare.viewer.maxSize = <int>
<int> : Integer für die maximale Größe in MB
Standardwert: 2