SSL für sichere Kommunikation verwenden
An Ihrem Standort kann Zwei-Wege-SSL verwendet werden, um die Kommunikation zwischen dem ThingWorx Server und der Windchill Anwendung zu sichern. PTC empfiehlt die Verwendung von SSL beim Arbeiten in einer Produktionsumgebung. Die Erweiterung kann SSL zum einen verwenden, um die Server untereinander zu authentifizieren, und zum anderen, um die Kommunikation selbst zu schützen.
Für eine SSL-Verbindung müssen beide Systeme einander vertrauen; hierzu müssen die alte sowie die neue WindchillConnector Dingvorlage so konfiguriert werden, dass sie die auf dem ThingWorx Server gespeicherten Java-KeyStore und -TrustStore referenziert, die Schlüssel für die Transaktion bereitstellen. Der HTTP-Server auf dem Windchill Server muss so konfiguriert werden, das er diesen Schlüsseln vertraut.
SSL-Konfigurationen unterscheiden sich erheblich, und dieses Thema versucht nicht, alle Optionen zu beschreiben, die in einer SSL-Konfiguration verfügbar sind. Die folgenden Schritte bieten stattdessen eine Übersicht über den Prozess zum Konfigurieren von SSL.
In diesem Verfahren wird vorausgesetzt, dass ThingWorx und Windchill so konfiguriert sind, dass sie SSL für die Standardkommunikation verwenden. Außerdem beruht es auf Konfigurationsskripts, die in der neuesten Version von PTC HTTP-Server enthalten sind. Die neueste Version von PTC HTTP-Server ist im Lieferumfang von Windchill 11.0 M030 und höher enthalten.
|
|
Es kann ein kommerzielles vertrauenswürdiges Wildcard-Zertifikat für Windchill und ein selbstsigniertes Zertifikat zwischen ThingWorx und Windchill verwendet werden.
|
ThingWorx mit KeyStore und TrustStore konfigurieren
ThingWorx erfordert Java-KeyStore und -TrustStore.
1. Erstellen Sie einen TrustStore für ThingWorx, und importieren Sie das Windchill SSL-Zertifikat.
2. Erstellen Sie einen KeyStore für ThingWorx und generieren Sie ein KeyPair im KeyStore.
3. Konfigurieren Sie Windchill so, dass die Anwendung ThingWorx vertraut.
4. Referenzieren Sie sie in der Konfiguration der Dingvorlage WindchillConnector, die zum Verbinden von ThingWorx mit dem Windchill System verwendet wird, das gesichert wird.
Windchill für Client-Authentifizierung konfigurieren
Konfigurieren Sie auf dem Windchill Server die SSL-Authentifizierung in PTC HTTP-Server so, dass dem ThingWorx Schlüssel und Zertifikat vertraut wird.
|
|
Die Codebeispiele wurden zur Anpassung an die Seitengröße umformatiert und enthalten unter Umständen Zeilennummern, verborgene Zeichen (wie Tabulatoren und Zeilenendezeichen) sowie belanglose Leerzeichen. Wenn Sie Code ausschneiden und einfügen, suchen Sie nach diesen Zeichen, und entfernen Sie sie, bevor Sie den Beispielcode in Ihrer Anwendung einzusetzen versuchen.
|
1. Aktualisieren Sie die Konfiguration von PTC HTTP-Server so, dass die CA-Zertifikatdatei referenziert wird.
a. Erstellen Sie eine Datei unter <HTTPSERVER_HOME>\conf\ca-bundle.crt. Dieser Speicherort wird empfohlen, ist jedoch nicht obligatorisch.
b. Speichern Sie ca-bundle.crt.
c. Erstellen Sie eine Datei sslclientauth.conf unter <HTTPSERVER_HOME>\conf\sslvhostconf.d.
d. Fügen Sie SSLCACertificateFile zu <PATH_TO>\ca-bundle.crt hinzu, sodass sie auf die Datei ca-bundle.crt verweist. Beispiel:
SSLCACertificateFile
<HTTP_Server>\conf\ca-bundle.crt
e. Speichern Sie die Änderungen.
2. Fügen Sie das ThingWorx Client-Zertifikat der Liste vertrauenswürdiger CA-Zertifikate von PTC HTTP-Server hinzu.
a. Bearbeiten Sie die Datei ca-bundle.crt, auf die Sie zuvor im Eintrag SSLCACertificateFile verwiesen haben.
|
|
Wenn die Datei noch nicht vorhanden ist, erstellen Sie die Datei und alle erforderlichen Verzeichnisse.
|
b. Bearbeiten Sie ca-bundle.crt und fügen Sie den PEM-Dateiinhalt des ThingWorx Client-Zertifikats ein.
c. Speichern Sie die Änderungen.
3. Konfigurieren Sie PTC HTTP-Server für die sslClientAuth-URL.
a. Suchen Sie den Windchill Web-App-Namen in <windchill-home>/codebase/wt.properties im Eintrag wt.webapp.name.
b. Öffnen Sie eine Shell oder eine Eingabeaufforderung, und geben Sie Folgendes ein:
cd <HTTPSERVER_HOME>ant -f webAppConfig.xml -DappName=[windchill-web-app] -Dresource=sslClientAuth -DresourceAuthType=sslClientAuth addAuthResource
c. Konfigurieren Sie Windchill so, dass die Anwendung dem ThingWorx Zertifikat vertraut.
a. Bearbeiten Sie die Datei <windchill-home>/codebase/WEB-INF/web.xml.
b. Suchen Sie nach <filter-name>TrustedSSLAuthFilter</filtername>.
c. Fügen Sie ein zusätzliches <init-param>-Element nach dem vorhandenen hinzu, wobei [thingworx-cert-name] der Name des ThingWorx Zertifikats ist:
<init-param><param-name>trustedSubjectPattern.1</param-name><param-value>
[thingworx-cert-name]</param-value></init-param>
d. Speichern Sie die Änderungen.
Windchill Konnektoren konfigurieren
|
|
Diese Konfiguration trifft zu, wenn Sie Info*Engine Aufgaben nur mit den alten Konnektoren verwenden.
Sie können mit dem OData-Konnektor auch Info*Engine Aufgaben ausführen. Weitere Informationen finden Sie unter "Info*Engine Dienste mit ODataConnector ausführen" in ThingWorx Navigate anpassen.
|
1. Bearbeiten Sie in ThingWorx Composer die Dingvorlage WindchillConnector, die die Verbindung zum Windchill System darstellt, das konfiguriert wird.
2. Geben Sie den Pfad zu ThingWorxKeyStore.jks (siehe Beispiel im Screenshot) sowie das Passwort an.
3. Geben Sie den Pfad zu ThingWorxTrustStore.jks (siehe Beispiel im Screenshot) sowie das Passwort an.
| Es wird empfohlen, den Typ JKS zu verwenden, dies ist jedoch nicht obligatorisch. |
4. Geben Sie die Windchillhttps-Adresse und den SSL-Port an.
5. Speichern Sie das Ding.
6. Zeigen Sie das ThingWorx Anwendungsprotokoll an, um zu verifizieren, dass keine Konfigurationsfehler vorhanden sind.
7. Starten Sie ptc-connected-demo-mashup, um die vertrauenswürdige SSL-Konfiguration zwischen ThingWorx und Windchill zu überprüfen.
| Informationen zum Konfigurieren mit neuen Windchill Konnektoren finden Sie unter " ThingWorx Navigate einrichten: Windchill Authentifizierung" in ThingWorx Navigate 8.5 installieren. |
