SSL für den Webanwendungsserver konfigurieren

Servigistics InService Bereitstellung > SSL für den Webanwendungsserver konfigurieren

HTTP Secure (HTTPS) ist ein Kommunikationskanal für die sichere Kommunikation über ein Computernetzwerk. In Servigistics InService verwendet HTTPS Secure Sockets Layer (SSL), um sicherzustellen, dass alle Daten zwischen dem Servigistics InService Web-Server und Browsern privat und integral bleiben. SSLs sind kryptografische Protokolle, die entworfen wurden, um sichere Kommunikation über eine unsichere Infrastruktur bereitzustellen. Um HTTPS in Servigistics InService zu unterstützen, müssen Sie SSL-Zertifikate konfigurieren, die von einem Drittanbieter (vertrauenswürdige Zertifizierungsstelle) für die Anwendung validiert werden. Standardmäßig verwendet die Anwendung Port 8443, um über SSL zu kommunizieren.

HTTPS durch die Verwendung von Zertifikaten von Drittanbietern (vertrauenswürdige Zertifizierungsstelle) unterstützen

Ein Zertifikat von Drittanbietern wird durch eine vertrauenswürdigen Zertifizierungsstelle validiert. Stellen Sie sicher, dass das vom Drittanbieter validierte Zertifikat die Dateierweiterung .keystore oder .jks hat.

Im folgenden Verfahren ist das Zertifikat von Drittanbietern *.jks. Das Verfahren gilt für alle Setup-Konfigurationstypen. Stellen Sie sicher, dass der sichere Port und der Core-Hostname ordnungsgemäß in den Konfiguratorentitäten für Publisher und Viewer aktualisiert werden.

Führen Sie folgende Schritte aus, um das Zertifikat *.jks in Servigistics InService zu verwenden. Im Falle von monolithischen, separaten und Cluster-Konfigurationen müssen Sie dieselben Schritte für einzelne Entitäten befolgen. Führen Sie bei separaten und Cluster-Konfigurationen die folgenden Schritte für Publisher- und jede der entsprechenden Viewer-Entitäten durch.

1. Beenden Sie alle coreServer-, coreCMIserver- und JBoss-Dienste, die ausgeführt werden.

2. Speichern Sie das Zertifikat *.jks am Speicherort <INS_HOME>/InS_SW/SW/system/wildfly/standalone/configuration.

• Für Servigistics InService müssen Sie ein HTTPS-Zertifikat mit der Erweiterung .jks haben.

• Das Passwort muss bekannt sein.

• Die Zertifikate müssen einen Alias haben. Zum Beispiel jboss. Der Alias wird im Zertifikat während der Zertifikatgenerierung festgelegt.

3. Aktualisieren Sie die Details für das Element security-realm für Web- und Offline-Systeme entsprechend.

a. Öffnen Sie für Web-Systeme die Datei standalone-full-<database-name>.xml im Verzeichnis <INS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration.

b. Öffnen Sie für Offline-Systeme die Datei standalone-full.xml im Verzeichnis: <INS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration.

<security-realm name="SSLRealm>
<server-identities>
<ssl>
<keystore path="*.jks" relative-to="jboss.server.config.dir" keystore-password="<actual_password_value>" alias="<actual alias from certificate>"
key-password="<actual_password_value>"/>
</ssl>
</server-identities>
</security-realm>

Dabei gilt:

◦ Schlüsselspeicherpfad: Name des Zertifikats.

◦ Schlüsselspeicherpasswort: Zertifikatpasswort.

◦ Alias: tatsächlicher Alias aus dem Zertifikat.

◦ Schlüsselpasswort: Zertifikatpasswort.

Ändern Sie für Offline-Systeme standalone-full.xml statt standalone-full-<database-name>.xml.

4. Führen Sie den folgenden Befehl aus, um das *.jks-Zertifikat, das JAVA-Schlüsselspeicherzertifikat, in ein Zertifikat der Zertifizierungsstelle zu exportieren:

<InS_HOME>/InS_SW/SW/System/Java/bin/keytool.exe -exportcert -noprompt
-alias "<actual alias from certificate>"
-keypass "<actual_password_value>" -storepass "<actual_password_value>"
-file <InS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration/cert.crt
-keystore <InS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration/<certificate_name>.jks

5. Führen Sie den folgenden Befehl aus, um das Zertifikat der Zertifizierungsstelle in das JRE-Zertifikat zu importieren:

<InS_HOME>/InS_SW/SW/System/Java/bin/keytool.exe -import -noprompt
-alias "<actual alias from certificate>"
-keypass keypass "<actual_password_value"> -storepass keypass "<actual_password_value">
-file <InS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration/cert.crt
-keystore <INS_HOME>/InS_SW/SW/System/Java/jre/lib/security/cacerts

6. Importieren Sie für Cluster- und geteilte Umgebungen die neu erstellten Zertifikate für Publisher und Viewer, indem Sie die folgenden Schritte ausführen:

a. Kopieren Sie das Zertifikat aus dem Ordner sw/System/WildFly/standalone/configuration von einem Rechner zu einem anderen Rechner in denselben Speicherort. Kopieren Sie das Publisher-Zertifikat zum Viewer und das Viewer-Zertifikat zum Publisher.

b. Führen Sie die Datei importCertificate.bat aus, und übergeben Sie den Parameter als Zertifikatnamen. Der Ordner SW enthält die .sh-oder .bat-Dateien. Beispiel: importCertificate.bat <FullCertificateName.crt>.

Wenn Sie Platzhalter-Zertifikate verwenden, können Sie diesen Schritt für das Querimportieren von Zertifikaten überspringen.

7. Starten Sie die coreServer-, coreCMIserver- und JBoss-Dienste neu.

Sie können auf die Servigistics InService Webanwendung zugreifen, indem Sie SSL verwenden. Verwenden Sie beispielsweise die URL: https://localhost:8443.

HTTPS durch die Verwendung von selbstsignierten Zertifikaten unterstützen

Ein selbstsigniertes Zertifikat ist ein Identitätszertifikat, das von derselben Entität signiert wird, deren Identität es zertifiziert, und nicht von einer vertrauenswürdigen Zertifizierungsstelle. Die Anwendung erstellt automatisch selbstsignierte Zertifikate, wenn Sie die Anwendung installieren.

Um HTTPS zu unterstützen, müssen Sie Zertifikate zum System hinzufügen.

• PTC empfiehlt, nur die SSL-Zertifikate von einem Drittanbieter zu verwenden, der eine vertrauenswürdige Zertifizierungsstelle ist. Die Verwendung eines selbstsignierten Zertifikats muss auf das Testsystem beschränkt werden. Es wird nicht empfohlen, selbstsignierte Zertifikate für Produktionsumgebungen zu verwenden, auch nicht hinter einer Firewall.

• Für die monolithische Konfiguration erstellt die Anwendung automatisch Zertifikate, wenn Sie die Anwendung installieren.

• Diese Schritte dienen nur der Erstellung und dem Import von selbstsignierten Zertifikaten.

1. Kopieren Sie das Zertifikat aus dem Ordner sw/System/WildFly/standalone/configuration von einem Rechner zu einem anderen Rechner am selben Speicherort. Kopieren Sie das Publisher-Zertifikat zum Viewer und das Viewer-Zertifikat zum Publisher.

2. Führen Sie die Datei importCertificate.bat aus, und übergeben Sie den Parameter als machineName von dem Ort, von dem Sie das Zertifikat kopiert haben. Die folgenden .sh- oder .bat-Dateien befinden sich im Ordner SW.

Gehen Sie beispielsweise auf dem Publisher-Rechner zum Ordner SW, und führen Sie den folgenden Befehl aus:

◦ Für Windows:

importCertificate.bat <v1.FullName>

◦ Für Linux:

./importCertificate.sh <v1.FullName>

◦ Auf Viewer 1: Für Windows

importCertificate.bat <Publisher.FullName>

Für Linux

./importCertificate.sh <Publisher.FullName>

• Importieren Sie das Zertifikat des Web-Servers auf einem Offline-System. Führen Sie im Falle einer Offline-SSL-Konfiguration den Befehl importCertificate.bat <primary_server_Full_host_Name> aus.

• Der vollständige Name impliziert einen vollständigen Domänennamen wie <host_name>.ptcnet.ptc.com.

Für Cluster-Umgebung

Für geteilte Umgebung

Problembehandlung

Wenn einige der Schritte nicht korrekt ausgeführt werden und Sie die Zertifikate erneut importieren möchten, führen Sie die folgenden Schritte durch:

1. Löschen Sie die Datei sw\System\Java\JRE\lib\security\cacerts, oder benennen Sie sie um.

2. Löschen Sie inskeystore und alle Zertifikate.

3. Führen Sie createkeyStore auf allen Rechnern mit dem Parameter "machineName" aus.

4. Kopieren Sie Zertifikate nach Bedarf.

5. Verwenden Sie importKeyStore, um andere Zertifikate auf jedem Rechner zu importieren.