ThingWorx Flow Hostnamen (NGINX-Server) mit CA-signiertem Zertifikat konfigurieren
Wenn Sie über einen dedizierten, privaten Schlüssel und eine Zertifikatdatei (.crt) mit öffentlichem Schlüssel verfügen:
1. Stellen Sie sicher, dass die CRT-Datei von der Zertifizierungsstelle als vertrauenswürdig eingestuft ist und Base64-codiert ist.
2. Beenden Sie den Dienst ThingWorxFlowNginx.
3. Navigieren Sie zu folgendem Pfad:
<ThingWorx Flow Installationsverzeichnis>\SSL
4. Kopieren Sie die folgenden Dateien in einen Sicherungsordner für die Wiederherstellung:
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. Ersetzen Sie den Inhalt der Datei orchestration.crt durch den Inhalt der CRT-Datei. Diese Datei enthält evtl. eine vollständige Zertifikatkette im PEM-Format in dieser Reihenfolge: Server-, Zwischen- und Stammzertifikat. Weitere Informationen dazu finden Sie in der nachfolgenden Notiz.
 | Zusätzlich zum Sitezertifikat kann es erforderlich sein, das Zertifizierungsstellen-Stammzertifikat sowie bestimmte Zwischenzertifikate in die Kette einzuschließen. Die Reihenfolge der Zertifikate in der Kette muss wie folgt lauten: a. Die erste Datei in der Kette muss das Zertifikat für Ihre Domäne sein. b. Das zweite Zertifikat in der Kette muss das Zertifikat des Zertifikatsausstellers sein und so weiter bis zum Stammzertifikat 1. Beispiel: -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE-----
|
6. Kopieren Sie die Datei orchestration.crt in die Datei extra.crt. Stellen Sie sicher, dass die Dateien orchestration.crt und extra.crt identisch sind.
7. (Optional) Es wird empfohlen, den Verschlüsselungsschlüssel aus Sicherheitsgründen zu ändern. Öffnen Sie die Datei nginx-keyfile, um den aktuellen Wert des Verschlüsselungsschlüssels abzurufen und zu ändern. Der Wert kann eine beliebige Zeichenfolge sein.
8. Verschlüsseln Sie den privaten Schlüssel mit Keystore Explorer oder openssl:
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
Dabei gilt:
private.key – Dateipfad der Datei mit dem privaten Schlüssel
encrypted_orchestration.key – Dateipfad, in dem die Befehlsausgabe den verschlüsselten privaten Schlüssel speichern muss
Eine neue Datei, encrypted_orchestration.key, wird erstellt.
9. Ersetzen Sie den Inhalt der Datei orchestration.key durch den Inhalt der Datei encrypted_orchestration.key.
10. Starten Sie den Dienst ThingWorxFlowNginx.
| | Wenn ein selbstsigniertes Zertifikat (z.B. beim Ersetzen eines abgelaufenen selbstsignierten Zertifikats) anstelle eines CA-signierten Zertifikats erstellt wird, so finden Sie weitere Informationen unter Selbstsignierte Zertifikate regenerieren. |
Wenn Sie ein ThingWorx Flow Zertifikat verwenden möchten:
1. Halten Sie den Dienst ThingWorxFlowNginx an.
2. Öffnen Sie die Datei Tomcat keystore.jks im Keystore Explorer.
3. Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar, und wählen Sie > aus.
4. Geben Sie einen Wert in Tomcat Schlüsselpaar-Aliaspasswort ein, und klicken Sie auf OK.
5. Wählen Sie den Typ OpenSSL aus.
6. Geben Sie das Verschlüsselungspasswort und das PEM-Passwort in die Felder ein.
7. Navigieren Sie zu einem beliebigen Speicherort, und klicken Sie auf Export.
| | Dies ist der orchestration.key. Das in Schritt (6) erstellte Passwort wird in nginx-keyfile kopiert. |
8. Klicken Sie mit der rechten Maustaste auf das Schlüsselpaar, und wählen Sie Export Certificate Chain aus.
9. Navigieren Sie zu einem beliebigen Speicherort, und klicken Sie auf Export.
| | Dies ist die Datei orchestration.crt und enthält das Serverzertifikat. |
10. Navigieren Sie zu ThingWorx Flow Installationsverzeichnis/SSL.
11. Verschieben Sie alle Dateien in diesem Ordner in einen Sicherungsordner.
12. Kopieren Sie die folgenden Dateien in ThingWorx Flow Installationsverzeichnis/SSL:
◦ nginx.keyfile – Ersetzen Sie den Inhalt der Datei durch das in Schritt (6) angegebene Passwort beim Exportieren des privaten Schlüssels.
◦ extra.crt – Kopieren Sie die Datei orchestration.crt in die Datei extra.crt. Stellen Sie nach dem Kopieren sicher, dass die Dateien orchestration.crt und extra.crt identisch sind. Diese Datei enthält eine vollständige Zertifikatkette im PEM-Format in der Reihenfolge: Server-, Zwischen- und Stammzertifikat.
13. Starten Sie den Dienst ThingWorxFlowNginx.