Configuration du nom d'hôte ThingWorx Flow (serveur NGINX) avec un certificat signé par une autorité de certification
Si vous disposez d'une clé privée et d'un fichier de certificat (crt) avec clé publique :
1. Assurez-vous que le fichier CRT est approuvé par l'autorité de certification et qu'il est codé en base 64.
2. Arrêtez le service ThingWorxFlowNginx.
3. Accédez au chemin suivant :
<Répertoire d'installation de ThingWorx Flow>\SSL
4. Copiez les fichiers suivants dans un dossier de sauvegarde pour la récupération :
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. Remplacez le contenu du fichier orchestration.crt par celui du fichier CRT. Ce fichier peut contenir une chaîne de certificats complète au format PEM dans l'ordre suivant : serveur, intermédiaire et racine. Pour plus de détails, reportez-vous à la note ci-dessous.
 | En plus du certificat de site, il peut être nécessaire d'inclure la racine de l'autorité de certification et tous les certificats intermédiaires dans la chaîne. L'ordre des certificats dans la chaîne doit se présenter comme suit : a. Le premier fichier de la chaîne doit être le certificat de votre domaine. b. Le deuxième certificat dans la chaîne doit être le certificat de votre émetteur de certificat, et ainsi de suite jusqu'à la racine 1. Par ex. : -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE-----
|
6. Copiez le contenu du fichier orchestration.crt dans le fichier extra.crt. Assurez-vous que les fichiers orchestration.crt et extra.crt sont identiques.
7. (Facultatif) Il est recommandé de modifier la clé de chiffrement pour des raisons de sécurité. Ouvrez le fichier nginx-keyfile pour obtenir la valeur de clé de chiffrement actuelle et modifiez-la. N'importe quelle chaîne de caractères peut être utilisée comme valeur.
8. A l'aide de Keystore Explorer or d'openssl, chiffrez la clé privée :
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
Où :
private.key : chemin du fichier de clé privée
encrypted_orchestration.key : chemin du fichier où la sortie de la commande doit enregistrer la clé privée chiffrée
Un nouveau fichier, encrypted_orchestration.key, est créé.
9. Remplacez le contenu du fichier orchestration.key par celui du fichier encrypted_orchestration.key.
10. Démarrez le service ThingWorxFlowNginx.
| | Si un certificat auto-signé est créé (par exemple lors du remplacement d'un certificat auto-signé expiré) au lieu d'un certificat signé par une autorité de certification, reportez-vous à la rubrique Régénération d'un certificat auto-signé. |
Si vous souhaitez utiliser un certificat ThingWorx Flow :
1. Arrêtez le service ThingWorxFlowNginx.
2. Ouvrez le fichier Tomcat keystore.jks dans Keystore Explorer.
3. Cliquez avec le bouton droit sur la paire de clés et sélectionnez > .
4. Entrez le Mot de passe d'alias de paire de clés Tomcat, puis cliquez sur OK.
5. Sélectionnez le type OpenSSL.
6. Entrez le mot de passe de chiffrement et le mot de passe PEM dans les champs.
7. Accédez à l'emplacement souhaité et cliquez sur Export.
| | Il s'agit du fichier orchestration.key. Le mot de passe créé à l'étape (6) est copié dans nginx-keyfile. |
8. Cliquez avec le bouton droit sur la paire de paires et sélectionnez Export Certificate Chain.
9. Accédez à l'emplacement souhaité et cliquez sur Export.
| | Il s'agit du fichier orchestration.crt qui contient le certificat du serveur. |
10. Accédez à répertoire d'installation ThingWorx Flow/SSL.
11. Déplacer tous les fichiers de ce dossier vers un dossier de sauvegarde.
12. Copiez les fichiers suivants dans répertoire d'installation ThingWorx Flow/SSL :
◦ nginx.keyfile : remplacez le contenu de ce fichier par le mot de passe spécifié à l'étape (6) lors de l'exportation de la clé privée.
◦ extra.crt : copiez le contenu du fichier orchestration.crt dans le fichier extra.crt. Après la copie, assurez-vous que les fichiers orchestration.crt et extra.crt sont identiques. Ce fichier contient une chaîne de certificats complète au format PEM dans l'ordre suivant : serveur, intermédiaire et racine.
13. Démarrez le service ThingWorxFlowNginx.