Conditions préalables à l'activation de SSL/TLS pour ThingWorx Navigate
Les informations contenues dans cette rubrique vous aideront à préparer les fichiers KeyStore et TrustStore nécessaires à l'installation et à la configuration de ThingWorx Navigate. Parcourez ces informations avant de commencer l'installation, puis reportez-vous-y si nécessaire durant le processus d'installation.
Introduction à la configuration de SSL
PTC recommande l'utilisation du protocole SSL (Secure Sockets Layer) pour un environnement de production. ThingWorx Navigate peut utiliser SSL pour effectuer l'authentification mutuelle des serveurs les uns auprès des autres, mais également pour protéger les communications elles-mêmes.
Les configurations pour HTTPS nécessitent l'utilisation d'un certificat d'autorité. ThingWorx Navigate requiert que le certificat soit approuvé par Java. Si vous choisissez d'utiliser un certificat qui n'est pas approuvé par Java, vous devez configurer Java pour qu'il approuve ce certificat. Les certificats fournis par des fournisseurs tiers tels que Verisign et Thawte, par exemple, sont des certificats d'autorité approuvés par Java.
Les configurations SSL varient grandement et nous n'avons pas l'intention de décrire toutes les options disponibles dans une configuration SSL. Les instructions fournies ici ne devraient pas nécessiter un trop gros effort pour implémenter HTTPS pour votre installation.
ThingWorx Navigate prend en charge diverses configurations et méthodes d'authentification. Par conséquent, vous devrez disposer de divers certificats, fichiers KeyStore et TrustStore déjà créés avant d'utiliser l'outil d'installation ThingWorx Navigate Setup et l'outil ThingWorx Navigate Configuration.
Dans les sections ci-dessous, vous trouverez des étapes génériques pour générer des fichiers Keystore et TrustStore à l'aide de l'utilitaire Java keytool. Les procédures d'installation et de configuration vous renseignent sur les fichiers KeyStore ou TrustStore dont vous avez besoin à chaque étape de la procédure. Reportez-vous à cette rubrique pour les instructions générales sur la génération des fichiers.
|
|
• Lors de la définition des mots de passe pour vos fichiers TrustStore et KeyStore, veillez à ce qu'ils n'incluent que des lettres et des chiffres. Les caractères spéciaux ne sont pas pris en charge.
• Recherchez les différentes options disponibles sur le marché pour générer ces fichiers de manière sécurisée. PTC se saurait être tenu responsable de la sécurité des certificats et des fichiers KeyStore et TrustStore que vous générez.
|
Générer un fichier KeyStore pour accepter des connexions basées sur SSL à l'aide d'un certificat autosigné
Avant de commencer, assurez-vous que vous disposez de l'utilitaire Java keytool dans votre chemin. Ensuite, suivez les étapes ci-dessous pour créer un nouveau fichier KeyStore comprenant une paire de clés publique/privée.
|
|
Pour les étapes ci-dessous, veillez à exécuter l'invite de commande en tant qu'administrateur. A défaut, l'erreur suivante risquerait de survenir :
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. Choisissez un répertoire pour le KeyStore et enregistrez-le dans ce répertoire. Par exemple, D:\Certificates.
2. Ouvrez une invite de commande et utilisez cette commande pour accéder au dossier d'installation de Java :
cd %JAVA_HOME%/bin
3. Exécutez la commande suivante pour générer le KeyStore avec une clé privée pour le certificat.
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
Vous serez invité à créer un mot de passe pour le fichier KeyStore et un mot de passe pour la clé privée. Utilisez le même mot de passe dans les deux cas.
|
|
Modifiez la valeur de l'argument -dname en fonction de votre environnement.
Indiquez la valeur pour CN selon le type de certificat que vous utilisez :
• Couche de transport : indiquez votre nom d'hôte complet. Par exemple : <hostname.domain.com>.
• Couche d'application ou authentification client : indiquez le nom approprié. Par exemple : ThingWorx.
|
4. Générez un certificat auto-signé pour la clé à l'aide de la commande ci-dessous. Lorsque vous êtes invité à entrer le mot de passe du KeyStore, entrez le mot de passe que vous avez créé à l'étape 3.
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. Exportez la clé publique de votre nouveau certificat à l'aide de cette commande :
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
Le fichier KeyStore que vous avez généré possède une clé privée qui lui est associée.
Générer un fichier TrustStore
Utilisez la commande ci-dessous pour créer un nouveau TrustStore et pour importer le certificat du serveur dans celui-ci :
keytool -import -alias testtrustStore -file server.cer -keystore TrustStore.jks -storetype JKS
Lorsqu'on vous demande si vous souhaitez approuver le certificat, tapez yes.
Pour plus d'informations, cet
article du Support technique pourra également vous aider à configurer votre SSL/TLS 1.2 pour Windows.
