Configurare ThingWorx Navigate con SSL
Le informazioni in questo argomento sono utili per preparare i file keystore e truststore necessari per installare e configurare ThingWorx Navigate. Leggere l'argomento prima di iniziare l'installazione e utilizzarlo come riferimento durante il processo di installazione.
Introduzione alla configurazione del protocollo SSL
PTC consiglia di utilizzare il protocollo SSL (Secure Sockets Layer) per un ambiente di produzione. ThingWorx Navigate può utilizzare la configurazione SSL sia per autenticare reciprocamente i server sia per proteggere la comunicazione.
Le configurazioni per HTTPS richiedono l'utilizzo di un certificato di autorità. ThingWorx Navigate richiede che il certificato sia considerato attendibile da Java. Se si sceglie di utilizzare un certificato non considerato attendibile da Java, è necessario configurare Java in modo che consideri il certificato attendibile. I certificati forniti da fornitori terzi come Verisign e Thawte, ad esempio, sono certificati di autorità considerati attendibili da Java.
Le configurazioni SSL variano considerevolmente e non verranno descritte tutte le opzioni disponibili in una configurazione SSL. Le istruzioni fornite in questo argomento dovrebbero richiedere uno sforzo minimo per implementare HTTPS nell'installazione in uso.
ThingWorx Navigate supporta più configurazioni e metodi di autenticazione. È quindi necessario creare e avere a disposizione più certificati, file keystore e truststore prima di utilizzare lo strumento di installazione ThingWorx Navigate Setup e lo strumento ThingWorx Navigate Configuration.
Nelle sezioni che seguono vengono descritte le procedure generiche per la generazione dei file keystore e truststore utilizzando l'utilità keytool Java. Le procedure di installazione e configurazione indicano esattamente quali file keystore o truststore sono necessari nelle diverse fasi del processo. Per le istruzioni generali sulla generazione dei file, continuare a fare riferimento a questo argomento.
|
|
• Quando si impostano le password per i file truststore e keystore, assicurarsi che includano solo lettere e numeri. I caratteri speciali non sono supportati.
• Ricercare le varie opzioni disponibili sul mercato per la generazione di questi file in modo sicuro. PTC non si assume la responsabilità relativamente alla sicurezza dei certificati e dei file keystore e truststore che vengono generati.
|
Generare un file keystore per accettare le connessioni basate sul protocollo SSL utilizzando un certificato autofirmato
Prima di iniziare, verificare che l'utilità keytool Java sia presente nel percorso in uso. Quindi, seguire i passi illustrati di seguito per creare un nuovo file keystore che includa una coppia di chiavi pubblica/privata.
|
|
Per i passi seguenti, assicurarsi di eseguire il prompt dei comandi come amministratore. In caso contrario, è probabile che venga visualizzato questo errore:
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. Scegliere una directory per il file keystore e salvarlo in quella directory. Ad esempio, D:\Certificates.
2. Aprire un prompt dei comandi e utilizzare questo comando per accedere alla cartella di installazione Java:
cd %JAVA_HOME%/bin
3. Eseguire il comando seguente per generare il keystore con una chiave privata per il certificato.
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
Verrà richiesto di creare una password per il file keystore e una password per la chiave privata. Utilizzare la stessa password in entrambi i casi.
|
|
Cambiare il valore dell'argomento -dname in base all'ambiente.
Specificare il valore di CN in base al tipo di certificato utilizzato.
• Livello trasporto - Fornire il nome host completo. Ad esempio, <hostname.domain.com>
• Livello applicazione o autenticazione client - Fornire un nome appropriato. Ad esempio, ThingWorx
|
4. Generare un certificato autofirmato per la chiave utilizzando il seguente comando. Quando viene richiesta la password del file keystore, immettere la password creata al passo 3.
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. Esportare la chiave pubblica per il nuovo certificato utilizzando il seguente comando:
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
Il file keystore generato presenta una chiave privata associata al file stesso.
Generare un file truststore
Per creare un nuovo file truststore e importarvi il certificato del server, utilizzare il seguente comando:
keytool -import -alias testtrustStore -file server.cer -keystore TrustStore.jks -storetype JKS
Quando viene richiesto se considerare attendibile il certificato, digitare yes.
Per ulteriori informazioni, fare riferimento a questo
articolo del supporto tecnico, che può risultare utile per configurare il protocollo SSL.
