针对 ThingWorx Navigate 启用 SSL/TLS 的先决条件

本主题中的信息将帮助您准备安装和配置 ThingWorx Navigate 所需的 KeyStore 和 TrustStore 文件。在开始安装之前，请仔细阅读主题，然后在安装过程中根据需要查看主题。

PTC 建议对生产环境使用安全套接字层 (SSL) 协议。ThingWorx Navigate 可以使用 SSL 在服务器之间相互进行身份验证，并保护通信本身。

HTTPS 配置要求使用证书颁发机构。ThingWorx Navigate 要求证书受 Java 信任。如果选择使用不是由 Java 受托的证书，则必须对 Java 进行配置，使其受托此证书。由第三方供应商 (例如：Verisign 和 Thawte) 提供的证书是 Java 信任的证书颁发机构。

SSL 配置差别很大，我们不会尝试描述 SSL 配置中的所有可用选项。此处所提供的指示要求您只需执行最少的步骤即可为您的安装实现 HTTPS。

ThingWorx Navigate 支持各种配置和身份验证方法。因此，在使用 ThingWorx Navigate Setup 安装工具和 ThingWorx Navigate Configuration 工具之前，您需要创建各种证书、KeyStore 和 TrustStore 文件并备用。

在以下部分中，您了解使用 Java keytool 实用工具生成 KeyStore 和 TrustStore 文件的基本步骤。安装和配置过程会在各个步骤具体说明所需的 KeyStore 或 TrustStore 文件。您可以重新参阅本主题，了解生成文件的基本说明。

• 为 TrustStore 和 KeyStore 文件设置密码时，请确保密码仅包含字母和数字。不支持特殊字符。

• 如果要以安全的方式生成这些文件，您可以研究业内可用的各种选项。PTC 不负责您生成的证书、KeyStore 和 TrustStore 文件的安全性。

使用自签名证书生成 KeyStore 文件以接受基于 SSL 的连接

在开始之前，请确保路径中包括 Java keytool 实用工具。然后，请遵循以下步骤创建一个新的 KeyStore 文件，其中包含公共/专用密钥对。

对于以下步骤，请确保以管理员身份运行命令提示符。否则，很可能会出现此错误：

keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)

1. 为 KeyStore 选取一个目录，并将其保存在该目录中。例如，D:\Certificates。

2. 打开命令提示符，然后使用以下命令导航至 Java 安装文件夹：

3. 运行以下命令以生成证书专用密钥的 KeyStore。

keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS

系统将提示您分别为 KeyStore 文件和私钥创建密码。请在这两个位置使用相同的密码。

根据您的环境更改 -dname 自变量的值。

根据使用的证书类型为 CN 提供值：

• 传输层 - 提供完全限定主机名。例如，<hostname.domain.com>

• 应用程序层或客户端身份验证 - 提供任何适当的名称。例如，ThingWorx

4. 使用以下命令为密钥生成自签名证书。当系统提示您输入 KeyStore 密码时，输入在步骤 3 中创建的密码。

keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS

keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS

生成的 KeyStore 文件具有关联的私钥。

使用以下命令创建新的 TrustStore 并将服务器证书导入其中：

keytool -import -alias testtrustStore -file server.cer -keystore TrustStore.jks -storetype JKS

当系统询问是否要信任该证书时，键入 yes。

有关详细信息，此技术支持文章也可以帮助您设置 Windows 的 SSL/TLS 1.2。