ThingWorx und ThingWorx Flow für bidirektionale Windchill SSL-Verbindungen einrichten (nur 9.0)
 |
Dieses Thema ist nicht gültig, wenn Sie ThingWorx Flow 9.0.2 und höher verwenden.
|
PTC empfiehlt, das SSL-Protokoll (Secure Sockets Layer) für eine Produktionsumgebung zu verwenden. ThingWorx verwendet SSL, um die Server gegenseitig zu authentifizieren und die Kommunikation zwischen den Servern zu schützen.
Konfigurationen für HTTPS erfordern die Verwendung eines von einer Zertifizierungsstelle (CA) ausgestellten Zertifikats. ThingWorx erfordert, dass das Zertifikat von Java als vertrauenswürdig eingestuft wird. Wenn Sie ein Zertifikat verwenden, das von Java nicht als vertrauenswürdig eingestuft wird, müssen Sie Java so konfigurieren, dass es diesem Zertifikat vertraut. Zertifikate, die von Drittanbietern wie z.B. VeriSign und Thawte bereitgestellt werden, werden von Java als vertrauenswürdige Zertifikate einer Zertifizierungsstelle eingestuft.
|
|
Dieses Dokument enthält Schritte, die ein Minimum an Aufwand erfordern, um HTTPS für Ihre Installation zu implementieren. Es handelt sich nicht um eine erschöpfende Liste aller Optionen, die in einer SSL-Konfiguration verfügbar sind.
|
Voraussetzungen
Stellen Sie vor dem Einrichten von ThingWorx und ThingWorx Flow für bidirektionale Windchill SSL-Verbindungen sicher, dass die folgenden Voraussetzungen erfüllt sind:
• Windchill ist mit den folgenden Zertifikaten konfiguriert (nur erforderlich, wenn das Windchill Zertifikat ein selbstsigniertes Zertifikat ist):
◦ Windchill Zertifikat
In diesem Dokument wird davon ausgegangen, dass das Windchill Zertifikat in der Datei server.crt gespeichert ist.
◦ CA-Zertifikat, mit dem das Windchill Zertifikat erstellt wird.
In diesem Dokument wird davon ausgegangen, dass das CA-Zertifikat in der Datei rootCA.crt gespeichert ist.
• Stellen Sie sicher, dass Sie den Pfad JAVA_HOME/bin zur Umgebungsvariablen PATH hinzufügen.
Schritte
Dies sind die Hauptschritte des Prozesses:
|
|
Überspringen Sie diesen Schritt, wenn Sie SSL bereits für die gleiche Instanz von ThingWorx für ThingWorx Navigate eingerichtet haben.
|
Schritt 1: ThingWorx für bidirektionale Windchill SSL-Verbindungen konfigurieren
Um ThingWorx für bidirektionale Windchill SSL-Verbindungen zu konfigurieren, müssen Sie eine Keystore-Datei generieren, um SSL-Verbindungen zu akzeptieren, die ein selbstsigniertes Zertifikat verwenden. Gehen Sie hierzu folgendermaßen vor:
1. Starten Sie die Eingabeaufforderung als Administrator, und navigieren Sie zu dem Speicherort, an dem Sie die Keystore-Datei speichern möchten.
2. Erstellen Sie eine Java Keystore-Datei (JKS), thingworx.jks, und generieren Sie ein anfängliches öffentliches und privates Schlüsselpaar mit dem Alias thingworx:
keytool -genkey -alias thingworx -keyalg rsa -dname "CN=<Vollständig qualifizierter Domänenname des ThingWorx Servers>" -keystore thingworx.jks -storetype JKS
Wenn Sie dazu aufgefordert werden, geben Sie das gleiche Passwort für die Keystore-Datei und den privaten Schlüssel ein.
Stellen Sie sicher, dass das Passwort nur Buchstaben und Zahlen enthält. Sonderzeichen werden nicht unterstützt. PTC übernimmt keine Verantwortung für die Sicherheit der von Ihnen generierten Zertifikate sowie der Keystore- und Vertrauensspeicher-Dateien.
|
|
Wenn Sie die Eingabeaufforderung nicht als Administrator starten, wird möglicherweise der folgende Fehler angezeigt:
keytool error: java.io.FileNotFoundException: thingworx.jks (Access is denied)
|
3. Generieren Sie ein selbstsigniertes Zertifikat für den Schlüssel:
keytool -selfcert -alias thingworx -validity 1825 -keystore thingworx.jks -storetype JKS
Wenn Sie zur Eingabe des Keystore-Passworts aufgefordert werden, geben Sie das gleiche Passwort wie beim vorherigen Befehl ein.
4. Exportieren Sie den öffentlichen Schlüssel für das neue selbstsignierte Zertifikat:
keytool -export -alias thingworx -file thingworx.cer -rfc -keystore thingworx.jks -storetype JKS
Schritt 2: ThingWorx Flow für bidirektionale Windchill SSL-Verbindungen konfigurieren
Teil A – Rufen Sie das Zertifikat und den privaten Schlüssel ab, die dem Keystore thingworx.jks zugeordnet sind.
1. Laden Sie Keystore Explorer herunter, und installieren Sie das Tool.
2. Öffnen Sie in Keystore Explorer die Datei thingworx.jks, also den ThingWorx Keystore, den Sie in Schritt 1 erstellt haben.
Geben Sie bei der entsprechenden Aufforderung das richtige Passwort des Keystore ein.
3. Klicken Sie mit der rechten Maustaste auf thingworx, und wählen Sie die Befehlsfolge > , um das Zertifikat zu exportieren, das dem Keystore thingworx.jks zugeordnet ist:
4. Gehen Sie im Fenster "Export Certificate Chain from entry 'thingworx'" wie folgt vor:
a. Wählen Sie für Export Length die Option Head Only aus.
b. Wählen Sie für Exportformat die Option X.509 aus.
c. Aktivieren Sie das Kontrollkästchen PEM.
d. Klicken Sie im Feld Datei exportieren auf Browse, um zu dem Speicherort zu navigieren, an dem Sie das exportierte Zertifikat speichern möchten. Beispiel: thingworx.crt.
e. Klicken Sie auf Exportieren.
5. Klicken Sie mit der rechten Maustaste auf thingworx, und wählen Sie die Befehlsfolge > , um den privaten Schlüssel zu exportieren, der dem Keystore thingworx.jks zugeordnet ist.
6. Wählen Sie im Fenster "Export Private Key Type" die Option PKCS#8 aus, und klicken Sie auf OK.
7. Gehen Sie im Fenster "Export Private Key as PKCS#8 from KeyStore Entry 'thingworx'" wie folgt vor:
a. Deaktivieren Sie das Kontrollkästchen Encrypt.
b. Aktivieren Sie das Kontrollkästchen PEM.
c. Klicken Sie im Feld Datei exportieren auf Browse, um zu dem Speicherort zu navigieren, an dem Sie den exportierten privaten Schlüssel speichern möchten. Beispiel: thingworx.key.
d. Klicken Sie auf Exportieren.
Teil B – ThingWorx und Windchill Zertifikate zum ThingWorx Flow Vertrauensspeicher hinzufügen
1. Der Wert des Parameters secret wird verwendet, um den Vertrauensspeicher zu entschlüsseln. Um den Wert des Parameters secret abzurufen, starten Sie die Eingabeaufforderung als Administrator auf dem Rechner, auf dem Sie ThingWorx Flow installiert haben, und führen Sie die folgenden Befehle aus:
a. pm2 ls
Notieren Sie sich den Wert der ID eines beliebigen ThingWorx Flow Diensts.
b. pm2 env <ID>
Hierbei ist <ID> die ID eines beliebigen ThingWorx Flow Diensts. Beispiel: Die ID des Diensts flow-api.
c. Kopieren Sie den Wert der Variablen CONFIG_IMAGE. Dies ist der Wert des Parameters secret.
2. Führen Sie den folgenden Befehl aus:
<ThingWorx Flow Installationsverzeichnis>\cryptography\tw-security-common-nodejs npm link
3. Führen Sie den folgenden Befehl aus, um die Zertifikatdatei thingworx.crt zum Vertrauensspeicher hinzuzufügen:
PtcOrchKeyFileTool set --keyName thingworx-crt --keyPath <Pfad zu thingworx.crt> --configPath <Absoluter Pfad zur config.json-Datei eines beliebigen Flow Diensts> --secret <Verschlüsselungswort zum Entschlüsseln des Vertrauensspeichers>
Ändern Sie den Wert des Parameters keyName nicht. Er muss auf thingworx-crt festgelegt sein.
4. Führen Sie den folgenden Befehl aus, um die private Schlüsseldatei thingworx.key zum Vertrauensspeicher hinzuzufügen:
PtcOrchKeyFileTool set --keyName thingworx-key --keyPath <Pfad zu thingworx.key> --configPath <Absoluter Pfad zur config.json-Datei eines beliebigen Flow Diensts> --secret <Verschlüsselungswort zum Entschlüsseln des Vertrauensspeichers>
Ändern Sie den Wert des Parameters keyName nicht. Er muss auf thingworx-key festgelegt sein.
5. Wenn Ihr Windchill Zertifikat ein selbstsigniertes Zertifikat ist, gehen Sie wie folgt vor:
a. Erstellen Sie eine neue Datei, ca.crt.
b. Fügen Sie den Inhalt der Dateien rootCA.crt und server.crt in die Datei ca.crt ein.
c. Führen Sie den folgenden Befehl aus, um das Windchill Zertifikat zum Vertrauensspeicher hinzuzufügen:
PtcOrchKeyFileTool set --keyName <Windchill-crt>--keyPath <Pfad zu ca.crt-Datei> --configPath <Absoluter Pfad zur config.json-Datei eines beliebigen Flow Diensts> --secret <Verschlüsselungswort zum Entschlüsseln des Vertrauensspeichers>
Für diesen Befehl können Sie den Wert des Parameters keyName ändern. Stellen Sie im Fall von mehreren Windchill Servern sicher, dass Sie für den Parameter keyName unterschiedliche Werte festlegen.
6. Starten Sie den ThingWorx und den ThingWorx Flow Server neu.
Sie haben ThingWorx und ThingWorx Flow erfolgreich für bidirektionale Windchill SSL-Verbindungen eingerichtet.
Sie können jetzt eine bidirektionale Windchill SSL-Verbindung für jede Windchill Aktion hinzufügen. Weitere Informationen finden Sie unter Bidirektionale Windchill SSL-Verbindungen hinzufügen.