Requisitos previos para activar SSL/TLS para ThingWorx Navigate
La información de este tema ayudará a preparar los ficheros keystore y truststore necesarios para instalar y configurar ThingWorx Navigate. Lea el tema antes de empezar la instalación y consúltelo de nuevo según sea necesario durante el proceso de instalación.
Introducción a la configuración de SSL
PTC recomienda utilizar el protocolo Secure Sockets Layer (SSL) para un entorno de producción. ThingWorx Navigate puede utilizar SSL para autenticar mutuamente los servidores entre sí y para proteger la propia comunicación.
Las configuraciones para HTTPS requieren el uso de un certificado de entidad de certificación. ThingWorx Navigate requiere que el certificado sea de confianza para Java. Si se opta por utilizar un certificado que no es de confianza para Java, se debe configurar Java para que confíe en dicho certificado. Los certificados proporcionados por proveedores externos, como Verisign y Thawte, por ejemplo, son certificados de entidad de certificación de confianza para Java.
Las configuraciones SSL varían significativamente y no se pretende describir todas las opciones disponibles en una configuración SSL. Las instrucciones que se proporcionan aquí requieren un mínimo de esfuerzo para implementar HTTPS para la instalación.
ThingWorx Navigate soporta varias configuraciones y métodos de autenticación. Como resultado, se necesitarán varios certificados y los ficheros KeyStore y TrustStore creados y a mano antes de utilizar la herramienta de instalación ThingWorx Navigate Setup y la herramienta de instalación ThingWorx Navigate Configuration.
En las siguientes secciones se incluyen pasos genéricos para crear los ficheros KeyStore y TrustStore mediante la utilidad keytool de Java. En los procedimientos de instalación y configuración se incluye información sobre qué ficheros KeyStore o TrustStore se necesitan exactamente en cada paso del proceso. Consulte este tema para obtener instrucciones generales sobre cómo crear los ficheros.
|
|
• Al definir contraseñas para los ficheros truststore y keystore, debe asegurarse de que se incluyan solo letras y números. No se soportan caracteres especiales.
• Investigue las distintas opciones disponibles en el mercado para crear estos ficheros de manera segura. PTC no se hace responsable de la seguridad de los certificados y los ficheros de KeyStore y TrustStore creados.
|
Creación de un fichero KeyStore para aceptar conexiones basadas en SSL mediante un certificado autofirmado
Antes de comenzar, asegúrese de que la utilidad keytool de Java se encuentre en la ruta. A continuación, siga los siguientes pasos para crear un nuevo fichero keystore en el que se incluya un par de claves pública y privada.
|
|
Para los siguientes pasos, asegúrese de ejecutar el símbolo del sistema como administrador. De lo contrario, es probable que se reciba este error:
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. Elija un directorio para guardar el fichero KeyStore. Por ejemplo, D:\Certificates.
2. Abra un símbolo del sistema y utilice este comando para navegar hasta la carpeta de instalación de Java:
cd %JAVA_HOME%/bin
3. Ejecute el siguiente comando para generar el fichero KeyStore con una clave privada para el certificado.
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
Se le solicitará al usuario que cree una contraseña para el fichero KeyStore y una contraseña para la clave privada. Utilice la misma contraseña para ambos.
|
|
Cambie el valor del argumento -dname en función del entorno.
Proporcione el valor de CN según el tipo de certificado que se utilice:
• Nivel de transporte: proporcione el nombre de host completo. Por ejemplo, <hostname.domain.com>
• Nivel de aplicación o autenticación de cliente: proporcione el nombre adecuado. Por ejemplo, ThingWorx
|
4. Genere un certificado autofirmado para la clave mediante el siguiente comando. Cuando se le solicite al usuario la contraseña KeyStore, se debe introducir la contraseña que se ha creado en el paso 3.
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. Exporte la clave pública para el nuevo certificado con este comando:
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
El fichero KeyStore que se ha generado tiene una clave privada asociada.
Generación de un fichero TrustStore
Utilice el siguiente comando para crear un nuevo fichero TrustStore e importar el certificado del servidor en él:
keytool -import -alias testtrustStore -file server.cer -keystore TrustStore.jks -storetype JKS
Cuando se le solicite al usuario si desea confiar en el certificado, se debe escribir yes.
Para obtener más información, este
artículo de soporte técnico también puede ayudar a configurar SSL/TLS 1.2 para Windows.
