Voraussetzungen für die Aktivierung von SSL/TLS für ThingWorx Navigate
Die Informationen in diesem Thema helfen Ihnen dabei, die KeyStore- und TrustStore-Dateien vorzubereiten, die Sie zur Installation und Konfiguration von ThingWorx Navigate benötigen. Lesen Sie sich das Thema durch, bevor Sie mit der Installation beginnen, und nutzen Sie es während der Installation bei Bedarf als Referenz.
Einführung in das Konfigurieren von SSL
PTC empfiehlt, für Produktionsumgebungen das Protokoll Secure Sockets Layer (SSL) zu verwenden. ThingWorx Navigate kann SSL zum einen verwenden, um die Server untereinander zu authentifizieren, und zum anderen, um die Kommunikation selbst zu schützen.
Konfigurationen für HTTPS erfordern die Verwendung eines Zertifikats. ThingWorx Navigate erfordert, dass das Zertifikat für Java vertrauenswürdig ist. Wenn Sie ein Zertifikat verwenden, das für Java nicht vertrauenswürdig ist, müssen Sie Java so konfigurieren, dass es diesem Zertifikat vertraut. Zertifikate von Drittanbietern wie Verisign und Thawte sind beispielsweise Echtheitszertifikate, denen Java vertraut.
SSL-Konfigurationen unterscheiden sich erheblich, und wir können nicht alle Optionen beschreiben, die in einer SSL-Konfiguration verfügbar sind. Die Anweisungen in diesem Dokument sollten mit minimalem Aufwand die Implementierung von HTTPS für Ihre Installation ermöglichen.
ThingWorx Navigate unterstützt verschiedene Konfigurationen und Authentifizierungsmethoden. Daher müssen Sie verschiedene Zertifikate, KeyStore- und TrustStore-Dateien erstellen und bereit halten, bevor Sie das Installationstool ThingWorx Navigate Setup und das Tool ThingWorx Navigate Configuration verwenden.
In den folgenden Abschnitten finden Sie generische Anweisungen für das Generieren von KeyStore- und TrustStore-Dateien mit dem Java-Dienstprogramm keytool. Die Installations- und Konfigurationsverfahren enthalten exakte Informationen dazu, welche KeyStore- oder TrustStore-Dateien Sie für jeden einzelnen Schritt benötigen. Im vorliegenden Thema finden Sie die allgemeinen Anweisungen zum Generieren der Dateien.
|
• Wenn Sie Passwörter für Ihre TrustStore- und KeyStore-Dateien festlegen, dürfen diese nur Buchstaben und Zahlen enthalten. Sonderzeichen werden nicht unterstützt.
• Informieren Sie sich über die verschiedenen Optionen am Markt, um diese Dateien sicher zu generieren. PTC übernimmt keine Verantwortung für die Sicherheit der Zertifikate sowie der KeyStore- und TrustStore-Dateien, die Sie generieren.
|
Generieren Sie eine KeyStore-Datei, um SSL-basierte Verbindungen mit einem selbst signierten Zertifikat zu akzeptieren
Stellen Sie zunächst sicher, dass sich das Java-Dienstprogramm keytool in Ihrem Pfad befindet. Befolgen Sie dann die Schritte unten, um eine neue KeyStore-Datei mit einem Paar von Sicherheitsschlüsseln (öffentlich und privat) zu erstellen.
|
Stellen Sie für die nachfolgenden Schritte sicher, dass Sie die Eingabeaufforderung als Administrator ausführen. Andernfalls werden Sie wahrscheinlich die folgende Fehlermeldung erhalten:
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. Wählen Sie ein Verzeichnis für den KeyStore aus, und speichern Sie es in diesem Verzeichnis. Beispiel: D:\Certificates.
2. Öffnen Sie die Eingabeaufforderung, und verwenden Sie den folgenden Befehl, um in den Java-Installationsordner zu navigieren:
cd %JAVA_HOME%/bin
3. Führen Sie folgenden Befehl aus, um den Schlüsselspeicher mit einem privaten Schlüssel für das Zertifikat zu generieren.
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
Sie werden aufgefordert, ein Passwort für die KeyStore-Datei und ein Passwort für den privaten Schlüssel zu erstellen. Verwenden Sie für beides dasselbe Passwort.
|
Ändern Sie den Wert des -dname-Arguments gemäß Ihrer Umgebung.
Geben Sie je nach Typ des verwendeten Zertifikats den Wert für CN an:
• Transportschicht: Geben Sie Ihren vollständig qualifizierten Hostnamen an. Beispiel: <hostname.domain.com>
• Anwendungsschicht oder Client-Authentifizierung: Geben Sie einen geeigneten Namen an. Beispiel: ThingWorx
|
4. Generieren Sie mit dem folgenden Befehl ein selbst signiertes Zertifikat für den Schlüssel Wenn Sie nach dem KeyStore-Passwort gefragt werden, geben Sie das Passwort ein, das Sie in Schritt 3 erstellt haben.
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. Exportieren Sie den öffentlichen Schlüssel für Ihr neues Zertifikat mit diesem Befehl:
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
Der KeyStore-Datei, die Sie generiert haben, ist ein privater Schlüssel zugeordnet.
TrustStore-Dateien generieren
Verwenden Sie den folgenden Befehl, um einen neuen TrustStore zu erstellen und das Serverzertifikat in ihn zu importieren:
keytool -import -alias testtrustStore -file server.cer -keystore TrustStore.jks -storetype JKS
Wenn Sie gefragt werden, ob Sie dem Zertifikat vertrauen, geben Sie yes ein.
Weitere Informationen finden Sie in diesem
Artikel des technischen Supports zur SSL/TLS 1.2-Einrichtung für Windows.