Создание файлов KeyStore и TrustStore для Windchill Navigate
Информация в этом разделе поможет вам подготовить файлы KeyStore и TrustStore, которые необходимо установить, и настроить Windchill Navigate. Ознакомьтесь с этим разделом перед началом установки и используйте его для справки по мере надобности в процессе установки.
Введение в конфигурирование SSL
PTC рекомендует использовать протокол SSL (Secure Sockets Layer) для производственной среды. Windchill Navigate может использовать SSL как для взаимной аутентификации между серверами, так и для защиты обмена данными.
Конфигурации для HTTPS требуют использовать сертификаты. Windchill Navigate требует, чтобы сертификат был доверенным для Java. Если вы выбираете использование сертификата, которому не доверяет Java, необходимо настроить Java на доверие этому сертификату. Сертификаты, предоставленные сторонними поставщиками, такими как Verisign и Thawte, являются доверенными для Java сертификатами.
Конфигурации SSL весьма разнообразны, и здесь не делается попытки описать все опции, доступные в конфигурации SSL. Инструкции, предоставленные здесь, потребуют минимум усилий для реализации самоподписанных сертификатов для HTTPS.
Windchill Navigate поддерживает различные конфигурации и методы аутентификации. В результате перед использованием средства установки и инструмента конфигурации потребуются сертификаты, а также уже созданные и готовые к использованию файлы KeyStore и TrustStore.
В следующих разделах описаны основные шаги для создания файлов KeyStore и TrustStore с помощью утилиты Java keytool. Процедуры установки и конфигурирования содержат информацию о том, какие файлы KeyStore или TrustStore вам потребуются на каждом шаге. При необходимости используйте общие инструкции из этого раздела при генерации данных файлов.
 |
• При задании паролей для файлов TrustStore и KeyStore убедитесь, что они содержат только буквы и цифры. Специальные символы не поддерживаются.
• Исследуйте различные возможности, доступные на рынке для создания этих файлов безопасными способами. PTC не несет ответственности за безопасность сертификатов и файлов KeyStore и TrustStore, которые вы создаете.
|
Создание файла KeyStore, позволяющего принимать соединения на базе SSL с использованием самоподписанного сертификата
Перед началом убедитесь, что доступна утилита Java keytool. Затем выполните следующие шаги, чтобы создать новый файл KeyStore, содержащий пару из открытого и секретного ключа.
 |
Для следующих шагов убедитесь, что вы открыли командную строку от имени администратора. В противном случае может быть выдана следующая ошибка:
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. Выберите папку для файла KeyStore и сохраните его в этой папке. Например, D:\Certificates.
2. Откройте командную строку и с помощью следующей команды перейдите к папке установки Java:
cd %JAVA_HOME%/bin
3. Выполните следующую команду, чтобы создать KeyStore с закрытым ключом для сертификата.
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
Вы получите запрос создать пароль для файла KeyStore и пароль для закрытого ключа. Используйте один и тот же пароль в обоих местах.
|
|
Измените значение аргумента -dname соответственно вашей среде.
Задайте значение для CN соответственно типу сертификата, который вы используете:
• Транспортный уровень - задайте полное имя своего хоста. Например, <hostname.domain.com>.
• Уровень приложения (аутентификация клиента) - задайте любое подходящее имя. Например, ThingWorx.
|
4. Создайте самоподписанный сертификат для ключа с помощью команды ниже. В ответ на запрос пароля KeyStore введите пароль, созданный на шаге 3.
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. Экспортируйте открытый ключ для нового сертификата с помощью следующей команды:
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
Файл KeyStore, который вы создали, имеет связанный с ним закрытый ключ.
Генерация файла TrustStore
В подразделе "Пример конфигурации SSL - производственная конфигурация" раздела Начальная настройка сервиса Integration Runtime для соединителей интеграции в справочном центре ThingWorx приведены инструкции по созданию нового файла TrustStore и импорту в него сертификата сервера.