針對 ThingWorx Navigate 建立 KeyStore 與 TrustStore 檔案
此主題中的資訊會協助您準備在安裝及配置 ThingWorx Navigate 時所需的 KeyStore 與 TrustStore 檔案。在開始安裝之前,請先詳讀本主題,然後在安裝過程中再視需要參閱本主題。
配置 SSL 的簡介
PTC 建議針對生產環境使用安全通訊端層 (SSL) 協定。ThingWorx Navigate 可以使用 SSL 來讓伺服器彼此之間進行驗證,並保護通訊本身。
HTTPS 的組態需要使用授權憑證。ThingWorx Navigate 要求該憑證必須受 Java 信任。如果您選擇使用 Java 不信任的憑證,則必須將 Java 配置為信任此憑證。第三方廠商例如 Verisign 及 thawte 所提供的憑證為 Java 信任的授權憑證。
SSL 組態會有明顯不同,我們不會嘗試描述 SSL 組態中的所有可用選項。此處所提供的指示只需要花費最少的心力就能夠實行 HTTPS 的自行簽署憑證。
ThingWorx Navigate 支援各種組態及驗證方法。因此,您使用「ThingWorx Navigate 設定」安裝工具和「ThingWorx Navigate 組態」工具之前需要建立各種可用的憑證,KeyStore 與 TrustStore 檔案。
以下部分中您會找到利用 Java 的 keytool 公用程式產生 KeyStore 與 TrustStore 檔案的類屬步驟。安裝與組態程序中包括有關您在該方式每個步驟所需之 KeyStore 或 TrustStore 檔案的資訊。如需有關產生檔案的一般指示,請視需要參閱本主題。
 |
• 當您為 TrustStore 與 KeyStore 檔案設定密碼時,請確定它們僅包含字母和數字。特殊字元不受支援。
• 研究市場上可用之以安全方式產生這些檔案的各種選項。PTC 不會負責憑證和您所產生之 KeyStore 與 TrustStore 檔案的安全。
|
透過自行簽署的憑證產生 KeyStore 檔案來接受以 SSL 為基礎的連線
在開始之前,請確定 Java keytool 公用程式在路徑中。然後,請遵循下列步驟來建立新的 KeyStore 檔案,並在其內部包含公/私金鑰對。
 |
對於下列步驟,請確定以管理員身分執行命令提示字元。否則,您可能會收到下列錯誤:
keytool error: java.io.FileNotFoundException: tomcat.keystore (Access is denied)
|
1. 選擇 KeytStore 目錄,並將其儲存在該目錄中。例如,D:\Certificates。
2. 開啟命令提示字元並使用此指令來導覽至 Java 安裝資料夾:
cd %JAVA_HOME%/bin
3. 執行下列指令以產生帶有憑證私鑰的 KeyStore。
keytool -genkey -alias testKeyStore -keyalg rsa -dname "CN=<transport cert, application cert, or client authentication>" -keystore KeyStore.jks -storetype JKS
系統會提示您建立 KeytStore 檔案密碼和私人金鑰密碼。在兩個位置使用相同密碼。
|
|
根據您的環境變更 -dname 引數的值。
根據您使用的憑證類型提供 CN 的值:
• 傳輸層 - 提供完全合格的主機名稱。例如,<hostname.domain.com>
• 應用程式層或用戶端驗證 - 提供任何適當的名稱。例如,ThingWorx
|
4. 使用下列指令的金鑰產生自我簽署的憑證。當系統提示您輸入 KeytStore 密碼時,輸入您在步驟 3 中建立的密碼。
keytool -selfcert -alias testKeyStore -validity 1825 -keystore KeyStore.jks -storetype JKS
5. 使用此指令匯出新憑證的公開金鑰:
keytool -export -alias testKeyStore -file testKeyStore.cer -rfc -keystore KeyStore.jks -storetype JKS
您所產生的 KeytStore 檔案有與其相關聯的私人金鑰。
產生 TrustStore 檔案
ThingWorx 說明中心整合連接器的 Integration Runtime 服務的初始設定中〈SSL 配置範例:生產配置〉部分提供了有關建立新 TrustStore 及將伺服器憑證匯入至其中的指示。