Configuración del nombre de host de ThingWorx Flow (servidor NGINX) con certificado firmado por CA
Si dispone de una clave privada y un fichero de certificado (crt) con clave pública:
1. Asegúrese de que la entidad de certificación confíe en el fichero CRT y de y que este se haya codificado con base-64.
2. Detenga el servicio ThingWorxFlowNginx.
3. Navegue hasta la siguiente ruta:
<Directorio de instalación de ThingWorx Flow>\SSL.
4. Copie los siguientes ficheros en una carpeta de copia de seguridad para la recuperación:
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. Reemplace el contenido del fichero orchestration.crt por el contenido del fichero CRT. En este fichero puede incluir el certificado de cadena completa en formato PEM en el orden: servidor, intermedio y raíz. Para obtener más información, consulte la nota siguiente.
 | Además del certificado del sitio, puede ser necesario incluir la raíz de la entidad de certificación y los certificados intermedios de la cadena. El orden de los certificados de la cadena debe ser el siguiente: a. El primer fichero de la cadena debe ser el certificado del dominio. b. El segundo certificado de la cadena debe ser el del emisor de certificados del usuario y así sucesivamente hasta el de raíz. Por ejemplo: -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE-----
|
6. Copie el fichero orchestration.crt en el fichero extra.crt. Asegúrese de que los ficheros orchestration.crt y extra.crt sean idénticos.
7. (Opcional) Se recomienda cambiar la clave de cifrado por motivos de seguridad. Abra el fichero nginx-keyfile para obtener el valor de la clave de codificación actual y cambiarlo si lo desea. El valor puede ser cualquier cadena.
8. Mediante Keystore Explorer u openssl, cifre la clave privada:
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
Donde:
private.key: ruta de fichero del fichero de clave privada
encrypted_orchestration.key: ruta de fichero en la que la salida del comando debe guardar la clave privada
Se crea un nuevo fichero encrypted_orchestration.key.
9. Reemplace el contenido del fichero orchestration.key por el contenido del fichero encrypted_orchestration.key.
10. Inicie el servicio ThingWorxFlowNginx.
| | Si se crea un certificado autofirmado (por ejemplo, al reemplazar un certificado autofirmado caducado) en lugar de un certificado firmado por CA, consulte Regeneración de un certificado autofirmado. |
Si desea utilizar el certificado de ThingWorx Flow
1. Detenga el servicio ThingWorxFlowNginx.
2. Abra el fichero Tomcat keystore.jks en Keystore Explorer.
3. Pulse con el botón derecho del ratón en el par de claves y seleccione > .
4. Introduzca el valor de Tomcat Key Pair Alias Password y pulse en OK.
5. Seleccione el tipo OpenSSL.
6. Introduzca la contraseña de cifrado y la contraseña PEM en los campos.
7. Vaya a cualquier ubicación y pulse en Export.
| | Este es el objeto orchestration.key. La contraseña creada en el paso (6) se copia en nginx-keyfile. |
8. Pulse con el botón derecho del ratón en el par de claves y seleccione Export Certificate Chain.
9. Vaya a cualquier ubicación y pulse en Export.
| | Este fichero es orchestration.crt y contiene el certificado del servidor. |
10. Vaya a directorio de instalación de ThingWorx Flow/SSL.
11. Mueva todos los ficheros de esta carpeta a una carpeta de copia de seguridad.
12. Copie los siguientes ficheros en directorio de instalación de ThingWorx Flow/SSL:
◦ nginx.keyfile: se reemplaza el contenido del fichero por la contraseña especificada en el paso (6) mientras se exporta la clave privada.
◦ extra.crt: se copia el ficheroorchestration.crt en el fichero extra.crt. Después de la copia, asegúrese de que los ficheros orchestration.crt y extra.crt sean idénticos. En este fichero se incluye el certificado de cadena completa en formato PEM en el siguiente orden: servidor, intermedio y raíz.
13. Inicie el servicio ThingWorxFlowNginx.