Configurazione dell'autenticazione SSL per il server applicazioni Web

Distribuzione diServigistics InService > Configurazione dell'autenticazione SSL per il server applicazioni Web

HTTP Secure (HTTPS) è un canale di comunicazione utilizzato per la comunicazione protetta su una rete di computer. In Servigistics InService, il protocollo HTTPS utilizza l'autenticazione SSL (Secure Sockets Layer) per garantire che tutti i dati passati tra il server Web di Servigistics InService e i browser Web restino privati e integri. I protocolli SSL sono protocolli crittografati progettati per garantire una comunicazione protetta su un'infrastruttura non sicura. Per supportare il protocollo HTTPS in Servigistics InService, è necessario configurare per l'applicazione certificati SSL convalidati da terze parti considerate autorità di certificazione attendibili. Per default, l'applicazione utilizza la porta 8443 per comunicare tramite SSL.

Supporto del protocollo HTTPS tramite certificati di terze parti (autorità di certificazione attendibili)

Un certificato di terze parti viene convalidato da un'autorità di certificazione attendibile. Assicurarsi che il certificato convalidato da terze parti abbia l'estensione di file .keystore o .jks.

Nella procedura descritta di seguito, il certificato di terze parti è indicato come *.jks. La procedura si applica a tutti i tipi di configurazione dell'installazione. Assicurarsi che la porta protetta e il nome host del Core siano aggiornati correttamente nelle entità del Configuratore per il Publisher e i Viewer.

Per utilizzare il certificato *.jks in Servigistics InService, attenersi alla procedura descritta di seguito. In caso di configurazione monolitica, suddivisa e cluster, è necessario eseguire la stessa procedura nelle singole entità. Nelle configurazioni suddivise e cluster, pertanto, la procedura deve essere eseguita nel Publisher e in ognuna delle rispettive entità Viewer.

1. Arrestare tutti i servizi coreServer, coreCMIserver e jBoss in esecuzione.

2. Salvare il certificato *.jks nel percorso <INS_HOME>/InS_SW/SW/system/wildfly/standalone/configuration.

• Per Servigistics InService, è necessario disporre di un certificato HTTPS con estensione .jks.

• È necessario conoscere la password.

• I certificati devono disporre di un alias. Ad esempio, jboss. L'alias viene impostato nel certificato durante la relativa generazione.

3. Aggiornare i dettagli relativi all'elemento security-realm per i sistemi Web e non in linea, secondo quanto pertinente.

a. Per un sistema Web, aprire il file standalone-full-<nome-database>.xml che si trova nella directory <INS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration.

b. Per un sistema non in linea, aprire il file standalone-full.xml che si trova nella directory <INS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration.

<security-realm name="SSLRealm>
<server-identities>
<ssl>
<keystore path="*.jks" relative-to="jboss.server.config.dir" keystore-password="<actual_password_value>" alias="<actual alias from certificate>"
key-password="<actual_password_value>"/>
</ssl>
</server-identities>
</security-realm>

Di seguito sono illustrati i singoli valori.

◦ keystore path: nome del certificato

◦ keystore-password: password del certificato

◦ alias: alias effettivo del certificato

◦ key-password: password del certificato

Per i sistemi non in linea, modificare standalone-full.xml anziché standalone-full-<nome-database>.xml.

4. Eseguire il comando riportato di seguito per esportare il certificato *.jks, il certificato keystore JAVA, in un certificato CA.

<InS_HOME>/InS_SW/SW/System/Java/bin/keytool.exe -exportcert -noprompt
-alias "<actual alias from certificate>"
-keypass "<actual_password_value>" -storepass "<actual_password_value>"
-file <InS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration/cert.crt
-keystore <InS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration/<certificate_name>.jks

5. Importare il certificato CA nel certificato JRE eseguendo il comando indicato di seguito:

<InS_HOME>/InS_SW/SW/System/Java/bin/keytool.exe -import -noprompt
-alias "<actual alias from certificate>"
-keypass keypass "<actual_password_value"> -storepass keypass "<actual_password_value">
-file <InS_HOME>/InS_SW/SW/System/WildFly/standalone/configuration/cert.crt
-keystore <INS_HOME>/InS_SW/SW/System/Java/jre/lib/security/cacerts

6. Nel caso di ambienti suddivisi e cluster, importare i nuovi certificati creati per Publisher e Viewer attenendosi alla procedura riportata di seguito.

a. Copiare il certificato dalla cartella sw/System/WildFly/standalone/configuration di un computer a un altro, mantenendo lo stesso percorso. Copiare il certificato del Publisher nel Viewer e il certificato del Viewer nel Publisher.

b. Eseguire il file importCertificate.bat e passare il parametro come nome del certificato. La cartella SW contiene i file .sh o .bat. Ad esempio, importCertificate.bat <FullCertificateName.crt>.

Se si utilizzano certificati jolly, è possibile saltare questo passo per l'importazione incrociata dei certificati.

7. Riavviare i servizi coreServer, coreCMIserver e JBoss.

È possibile accedere all'applicazione Web Servigistics InService tramite SSL. Ad esempio, provare l'URL: https://localhost:8443.

Supporto del protocollo HTTPS tramite l'utilizzo di certificati autofirmati

Un certificato autofirmato è un certificato identificativo che viene firmato dalla stessa entità di cui certifica l'identità, anziché da un'autorità di certificazione attendibile. L'applicazione crea automaticamente certificati autofirmati mentre viene installata.

Per supportare il protocollo HTTPS, è necessario aggiungere certificati al sistema.

• PTC consiglia di utilizzare solo certificati SSL di terze parti considerate autorità di certificazione attendibili. L'utilizzo di un certificato autofirmato deve essere limitato al sistema di test. Si sconsiglia di utilizzare il certificato autofirmato per gli ambienti di produzione, anche se protetti da firewall.

• Per la configurazione di tipo monolitico, l'applicazione crea automaticamente alcuni certificati mentre viene installata.

• Questa procedura è valida per la creazione e l'impostazione dei soli certificati autofirmati.

1. Copiare il certificato dalla cartella sw/System/WildFly/standalone/configuration di un computer alla stessa posizione in un altro computer. Copiare il certificato del Publisher nel Viewer e il certificato del Viewer nel Publisher.

2. Eseguire il file importCertificate.bat e passare machineName come parametro per specificare da dove è stato copiato il certificato. Nella cartella SW sono disponibili i file .sh o .bat riportati di seguito.

Nel computer del Publisher, ad esempio, passare alla cartella SW ed eseguire il comando riportato di seguito.

◦ In ambiente Windows:

importCertificate.bat <v1.FullName>

◦ Per Linux:

./importCertificate.sh <v1.FullName>

◦ In Viewer1, in ambiente Windows:

importCertificate.bat <Publisher.FullName>

In ambiente Linux:

./importCertificate.sh <Publisher.FullName>

• Importare il certificato del server Web in un sistema non in linea. In caso di configurazione SSL non in linea, eseguire il comando importCertificate.bat <primary_server_Full_host_Name>.

• Il nome completo include il nome di dominio completo, ad esempio <host_name>.ptcnet.ptc.com.

Per un ambiente cluster

Per un ambiente suddiviso

Risoluzione dei problemi

Se alcuni passi non vengono completati correttamente e si desidera importare di nuovo i certificati, attenersi alla procedura descritta di seguito.

1. Eliminare o rinominare il file sw\System\Java\JRE\lib\security\cacerts.

2. Eliminare inskeystore e tutti i certificati.

3. Eseguire createkeyStore in tutti i computer con il nome del computer come parametro.

4. Copiare i certificati in base alle esigenze.

5. Utilizzare importKeyStore per importare altri certificati in ogni computer.