KeyStore- und TrustStore-Dateien für ThingWorx Navigate erstellen
Die Informationen in diesem Thema helfen Ihnen dabei, die KeyStore- und TrustStore-Dateien vorzubereiten, die Sie zur Installation und Konfiguration von ThingWorx Navigate benötigen. Lesen Sie sich das Thema durch, bevor Sie mit der Installation beginnen, und nutzen Sie es während der Installation bei Bedarf als Referenz.
Einführung in das Konfigurieren von SSL
PTC empfiehlt, das SSL-Protokoll (Secure Sockets Layer) für eine Produktionsumgebung zu verwenden. ThingWorx Navigate kann SSL zum einen verwenden, um die Server untereinander zu authentifizieren, und zum anderen, um die Kommunikation selbst zu schützen.
Konfigurationen für HTTPS erfordern die Verwendung eines Zertifikats. ThingWorx Navigate erfordert, dass das Zertifikat für Java vertrauenswürdig ist. Wenn Sie ein Zertifikat verwenden, das für Java nicht vertrauenswürdig ist, müssen Sie Java so konfigurieren, dass es diesem Zertifikat vertraut. Zertifikate von Drittanbietern wie Verisign und Thawte sind beispielsweise Echtheitszertifikate, denen Java vertraut.
SSL-Konfigurationen unterscheiden sich erheblich, und wir können nicht alle Optionen beschreiben, die in einer SSL-Konfiguration verfügbar sind. Die hier bereitgestellten Anweisungen sollten mit minimalem Aufwand die Implementierung selbstsignierter Zertifikate for HTTPS ermöglichen.
ThingWorx Navigate unterstützt verschiedene Konfigurationen und Authentifizierungsmethoden. Daher müssen Sie verschiedene Zertifikate, KeyStore- und TrustStore-Dateien erstellen und bereit halten, bevor Sie das Installationstool ThingWorx Navigate Setup und das Tool ThingWorx Navigate Konfiguration verwenden.
In den folgenden Abschnitten finden Sie generische Anweisungen für das Generieren von KeyStore- und TrustStore-Dateien mit dem Java-Dienstprogramm keytool. Die Installations- und Konfigurationsverfahren enthalten exakte Informationen dazu, welche KeyStore- oder TrustStore-Dateien Sie für jeden einzelnen Schritt benötigen. Referenzieren Sie dieses Thema nach Bedarf, wenn Sie allgemeine Anweisungen zum Generieren der Dateien benötigen.
 |
• Wenn Sie Passwörter für Ihre TrustStore- und KeyStore-Dateien festlegen, dürfen diese nur Buchstaben und Zahlen enthalten. Sonderzeichen werden nicht unterstützt.
• Informieren Sie sich über die verschiedenen Optionen am Markt, um diese Dateien sicher zu generieren. PTC übernimmt keine Verantwortung für die Sicherheit der Zertifikate sowie der KeyStore- und TrustStore-Dateien, die Sie generieren.
|
Generieren Sie eine KeyStore-Datei, um SSL-basierte Verbindungen mit einem selbst signierten Zertifikat zu akzeptieren
Stellen Sie zunächst sicher, dass sich das Java-Dienstprogramm keytool in Ihrem Pfad befindet. Befolgen Sie dann die Schritte unten, um eine neue KeyStore-Datei mit einem Paar von Sicherheitsschlüsseln (öffentlich und privat) zu erstellen.
 |
Stellen Sie für die nachfolgenden Schritte sicher, dass Sie die Eingabeaufforderung als Administrator ausführen. Andernfalls werden Sie wahrscheinlich die folgende Fehlermeldung erhalten:
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. Wählen Sie ein Verzeichnis für den KeyStore aus, und speichern Sie es in diesem Verzeichnis. Beispiel: D:\Certificates.
2. Öffnen Sie die Eingabeaufforderung, und verwenden Sie den folgenden Befehl, um in den Java-Installationsordner zu navigieren:
cd %JAVA_HOME%/bin
3. Führen Sie folgenden Befehl aus, um den Schlüsselspeicher mit einem privaten Schlüssel für das Zertifikat zu generieren.
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
Sie werden aufgefordert, ein Passwort für die KeyStore-Datei und ein Passwort für den privaten Schlüssel zu erstellen. Verwenden Sie für beides dasselbe Passwort.
|
|
Ändern Sie den Wert des -dname-Arguments gemäß Ihrer Umgebung.
Geben Sie je nach Typ des verwendeten Zertifikats den Wert für CN an:
• Transportschicht: Geben Sie Ihren vollständig qualifizierten Hostnamen an. Beispiel: <hostname.domain.com>
• Anwendungsschicht oder Client-Authentifizierung: Geben Sie einen geeigneten Namen an. Beispiel: ThingWorx
|
4. Generieren Sie mit dem folgenden Befehl ein selbst signiertes Zertifikat für den Schlüssel Wenn Sie nach dem KeyStore-Passwort gefragt werden, geben Sie das Passwort ein, das Sie in Schritt 3 erstellt haben.
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. Exportieren Sie den öffentlichen Schlüssel für Ihr neues Zertifikat mit diesem Befehl:
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
Der KeyStore-Datei, die Sie generiert haben, ist ein privater Schlüssel zugeordnet.
TrustStore-Dateien generieren
Der Abschnitt "SSL-Konfigurationsbeispiel: Produktionskonfiguration" im Thema Anfangseinrichtung des Diensts "Integration Runtime" für Integrations-Konnektoren im ThingWorx Hilfe-Center enthält Anweisungen zum Erstellen eines neuen TrustStore und zum Importieren des Serverzertifikats in selbiges.