Configuration de ThingWorx et ThingWorx Flow pour une connexion SSL Windchill bidirectionnelle (9.0 uniquement)
 |
Cette rubrique n'est pas valide si vous utilisez ThingWorx Flow version 9.0.2 et versions ultérieures.
|
PTC recommande l'utilisation du protocole SSL (Secure Sockets Layer) pour un environnement de production. ThingWorx utilise SSL pour authentifier mutuellement les serveurs et protéger les communications entre les serveurs.
Les configurations pour HTTPS nécessitent l'utilisation d'un certificat d'autorité. ThingWorx exige que le certificat soit approuvé par Java. Si vous utilisez un certificat qui n'est pas approuvé par Java, vous devez configurer Java pour qu'il fasse confiance à ce certificat. Les certificats fournis par des fournisseurs tiers, tels que Verisign et Thawte, sont des certificats d'autorité approuvés par Java.
|
|
Ce document décrit la procédure de base pour implémenter le protocole HTTPS pour votre installation. Il ne s'agit pas d'une liste exhaustive de toutes les options disponibles dans une configuration SSL.
|
Conditions requises
Avant de configurer ThingWorx et ThingWorx Flow pour une connexion SSL Windchill bidirectionnelle, assurez-vous que les conditions requises suivantes sont respectées :
• Windchill est configuré avec les certificats suivants (requis uniquement si le certificat Windchill est un certificat auto-signé) :
◦ Certificat Windchill
Ce document suppose que le certificat Windchill est stocké dans le fichier server.crt.
◦ Certificat d'autorité de certification à l'aide duquel le certificat Windchill est créé.
Ce document suppose que le certificat de l'autorité de certification est stocké dans le fichier rootCA.crt.
• Assurez-vous d'ajouter JAVA_HOME/bin à votre variable d'environnement PATH.
Etapes
Voici les principales étapes du processus :
|
|
Ignorez cette étape si vous avez déjà configuré le protocole SSL pour la même instance de ThingWorx pour ThingWorx Navigate.
|
Etape 1 : Configuration de ThingWorx pour une connexion SSL Windchill bidirectionnelle
Pour configurer ThingWorx pour une connexion SSL Windchill bidirectionnelle, vous devez générer un fichier KeyStore pour accepter les connexions SSL à l'aide d'un certificat auto-signé. Pour ce faire, procédez comme suit :
1. Démarrez l'invite de commande en tant qu'administrateur, puis accédez à l'emplacement dans lequel vous souhaitez enregistrer le fichier KeyStore.
2. Créez un fichier Java KeyStore (JKS), thingworx.jks, et générez une paire de clés publique et privée initiale avec l'alias thingworx :
keytool -genkey -alias thingworx -keyalg rsa -dname "CN=<Nom de domaine complet du serveur ThingWorx>" -keystore thingworx.jks -storetype JKS
Lorsque vous y êtes invité, spécifiez le même mot de passe pour le fichier KeyStore et la clé privée.
Assurez-vous que le mot de passe est uniquement composé de lettres et de chiffres. Les caractères spéciaux ne sont pas pris en charge. PTC n'est en aucun cas responsable de la sécurité des certificats et des fichiers KeyStore et TrustStore que vous générez.
|
|
Si vous ne démarrez pas l'invite de commande en tant qu'administrateur, le message d'erreur suivant peut s'afficher :
keytool error: java.io.FileNotFoundException: thingworx.jks (Access is denied)
|
3. Générez un certificat auto-signé pour la clé :
keytool -selfcert -alias thingworx -validity 1825 -keystore thingworx.jks -storetype JKS
Lorsque vous êtes invité à saisir le mot de passe du KeyStore, entrez celui que vous avez spécifié pour la commande précédente.
4. Exportez la clé publique de votre nouveau certificat auto-signé :
keytool -export -alias thingworx -file thingworx.cer -rfc -keystore thingworx.jks -storetype JKS
Etape 2 : Configuration de ThingWorx Flow pour une connexion SSL Windchill bidirectionnelle
Partie A : Obtention du certificat et de la clé privée associés au KeyStore thingworx.jks
1. Téléchargez et installez KeyStore Explorer.
2. Dans KeyStore Explorer, ouvrez thingworx.jks, le KeyStore ThingWorx créé à l'étape 1.
Lorsque vous y êtes invité, entrez le mot de passe du KeyStore.
3. Cliquez avec le bouton droit sur thingworx, puis cliquez sur > pour exporter le certificat associé au KeyStore thingworx.jks :
4. Dans la fenêtre Export Certificate Chain from entry "thingworx", procédez comme suit :
a. Pour Export Length, sélectionnez Head Only.
b. Pour Export Format, sélectionnez X.509.
c. Cochez la case PEM.
d. Dans le champ Export File, cliquez sur Browse pour accéder à l'emplacement dans lequel vous souhaitez enregistrer le certificat exporté. Par exemple : thingworx.crt.
e. Cliquez sur Export.
5. Cliquez avec le bouton droit sur thingworx, puis cliquez sur > pour exporter la clé privée associée au KeyStore thingworx.jks.
6. Dans la fenêtre Export Private Key Type, sélectionnez PKCS#8, puis cliquez sur OK.
7. Dans la fenêtre Export Private Key as PKCS#8 from KeyStore Entry "thingworx", procédez comme suit :
a. Décochez la case Encrypt.
b. Cochez la case PEM.
c. Dans le champ Export File, cliquez sur Browse pour accéder à l'emplacement dans lequel vous souhaitez enregistrer la clé privée exportée. Par exemple : thingworx.key.
d. Cliquez sur Export.
Partie B : Ajout des certificats ThingWorx et Windchill au TrustStore ThingWorx Flow
1. La valeur du paramètre secret est utilisée pour déchiffrer le TrustStore. Pour obtenir la valeur du paramètre secret, démarrez l'invite de commande en tant qu'administrateur sur la machine où vous avez installé ThingWorx Flow, puis exécutez les commandes suivantes :
a. pm2 ls
Notez la valeur de l'ID de n'importe quel service ThingWorx Flow.
b. pm2 env <ID>
, où <ID> correspond à l'ID d'un service ThingWorx Flow. Par exemple : ID du service flow-api.
c. Copiez la valeur de la variable CONFIG_IMAGE. Il s'agit de la valeur du paramètre secret.
2. Exécutez la commande suivante :
<Répertoire d'installation de ThingWorx Flow>\cryptography\tw-security-common-nodejs npm link
3. Exécutez la commande suivante pour ajouter le fichier de certificat thingworx.crt au TrustStore :
PtcOrchKeyFileTool set --keyName thingworx-crt --keyPath <Chemin d'accès au fichier thingworx.crt> --configPath <Chemin d'accès absolu au fichier config.json de n'importe quel service Flow> --secret <Secret pour déchiffrer le TrustStore>
Ne modifiez pas la valeur du paramètre keyName. Elle doit être définie sur thingworx-crt.
4. Exécutez la commande suivante pour ajouter la clé privée thingworx.key au TrustStore :
PtcOrchKeyFileTool set --keyName thingworx-key --keyPath <Chemin d'accès au fichier thingworx.key> --configPath <Chemin d'accès absolu au fichier config.json de n'importe quel service Flow> --secret <Secret pour déchiffrer le TrustStore>
Ne modifiez pas la valeur du paramètre keyName. Elle doit être définie sur thingworx-key.
5. Si votre certificat Windchill est auto-signé, procédez comme suit :
a. Créez un nouveau fichier ca.crt.
b. Collez le contenu des fichiers rootCA.crt et server.crt dans le fichier ca.crt.
c. Exécutez la commande suivante pour ajouter le certificat Windchill au TrustStore :
PtcOrchKeyFileTool set --keyName <Windchill-crt>--keyPath <Chemin d'accès au fichier ca.crt> --configPath <Chemin d'accès absolu au fichier config.json de n'importe quel service Flow> --secret <Secret pour déchiffrer le TrustStore>
Pour cette commande, vous pouvez modifier la valeur du paramètre keyName. Pour plusieurs serveurs Windchill, assurez-vous de définir des valeurs différentes pour le paramètre keyName.
6. Redémarrez les serveurs ThingWorx et ThingWorx Flow.
La configuration de ThingWorx et ThingWorx Flow pour une connexion SSL Windchill bidirectionnelle est terminée.
Vous pouvez à présent ajouter une telle connexion à n'importe quelle action Windchill. Pour plus d'informations, consultez la section Ajout d'un type de connecteur SSL Windchill bidirectionnel.