Rigenerazione di un certificato autofirmato
Per rigenerare i file orchestration.csr e orchestration.crt nella directory <Percorso_Installazione_ThingWorx_Flow>/SSL, eseguire i comandi seguenti:
1. Eseguire il backup della directory <Percorso_Installazione_ThingWorx_Flow>/SSL.
2. Eliminare tutti i file nella directory <Percorso_Installazione_ThingWorx_Flow>/SSL.
3. Utilizzando l'utilità openssl, eseguire i comandi seguenti per generare i certificati:
◦ <openssl_cmd> req -nodes -sha256 -newkey rsa:2048 -config <openssl_conf> -keyout "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration.key" -subj "/C=<C>/O=<O>/OU=<OU>/CN=<CN>" -out "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration.csr"
◦ <openssl_cmd> x509 -req -days 365 -sha256 -in "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration.csr" -signkey "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration.key" -out "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration.crt"
, dove
<C> - Nome del paese (codice a 2 lettere)
<O> - Nome organizzazione (ad esempio, società)
<OU> - Nome unità organizzativa (ad esempio, sezione)
<CN> - Nome comune (ad esempio, FQDN del server), il nome di dominio completo (ad esempio, win-f3ai9djq75j)
<openssl_cmd> - Windows: eseguire cd C:/opscode/chef/embedded/bin/openssl oppure cd C:/cinc-project/cinc/embedded/bin, digitare openssl ed eseguire il comando precedente.
Linux: digitare openssl ed eseguire il comando precedente.
<openssl_conf> - Windows: C:/opscode/chef/embedded/ssl/openssl.cnf oppure C:/cinc-project/cinc/embedded/ssl/openssl.cnf
Linux: /etc/pki/tls/openssl.cnf
Ad esempio:
Windows - C:/opscode/chef/embedded/bin/openssl req -nodes -sha256 -newkey rsa:2048 -config C:/opscode/chef/embedded/ssl/openssl.cnf -keyout "C:\orchestration.key" -subj "/C=US/O=PTC/OU=IT Department/CN=WIN-F3AI9DJQ75J" -out "C:\orchestration.csr"
Windows - C:/opscode/chef/embedded/bin/openssl x509 -req -days 365 -sha256 -in "C:\PROGRA~1\twx\THINGW~2/SSL/orchestration.csr" -signkey "C:\orchestration.key" -out "C:\orchestration.crt"
4. Per ThingWorx Flow 9.1.0 e versioni successive e ThingWorx Flow 9.0.3 e versioni successive:
a. Nella cartella <Percorso_Installazione_ThingWorx_Flow>/SSL creare il file nginx-keyfile e una nuova password per la chiave privata crittografata.
b. Utilizzando l'utilità openssl, eseguire il comando seguente per crittografare la chiave privata nginx:
<openssl_cmd> rsa -aes256 -passout pass:<Stessa password definita in nginx-keyfile> -in "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration.key" -out "<Percorso_Installazione_ThingWorx_Flow>/SSL/orchestration_enc.key"
c. Eliminare orchestration.key e rinominare orchestration_enc.key in orchestration.key.
5. (Solo Linux) Impostare i permessi seguenti:
◦ sudo chown flowuser:flowuser <Percorso_Installazione_ThingWorx_Flow>\SSL\orchestration.crt, dove flowuser è l'utente che ha eseguito il programma di installazione di ThingWorx Flow.
◦ sudo chown flowuser:flowuser <Percorso_Installazione_ThingWorx_Flow>\SSL\orchestration.key
, dove flowuser è l'utente che ha eseguito il programma di installazione di ThingWorx Flow.
◦ sudo chcon -t httpd_sys_content_t <Percorso_Installazione_ThingWorx_Flow>\SSL\orchestration.crt
◦ sudo chcon -t httpd_sys_content_t <Percorso_Installazione_ThingWorx_Flow>\SSL\orchestration.key
◦ Per ThingWorx Flow 9.1.0 e ThingWorx Flow 9.03 e versioni successive:
▪ sudo chown flowuser:flowuser <Percorso_Installazione_ThingWorx_Flow>/SSL/nginx-keyfile
, dove flowuser è l'utente che ha eseguito il programma di installazione di ThingWorx Flow.
▪ sudo chcon -t httpd_sys_content_t <Percorso_Installazione_ThingWorx_Flow>/SSL/nginx-keyfile
6. Modificare il file extra.crt, che si trova nella <Directory_Installazione_ThingWorx_Flow>\SSL e sostituire il contenuto del primo certificato con quello del nuovo certificato autofirmato.
7. Riavviare i servizi RabbitMQ, ThingWorx-Flow, Nginx e ThingWorx-Foundation.