Configurazione del nome host ThingWorx Flow (server NGINX) con il certificato firmato dall'autorità di certificazione
Se si dispone di una chiave privata dedicata e di un file di certificato (crt) con chiave pubblica:
1. Assicurarsi che il file CRT sia considerato attendibile dall'autorità di certificazione e codificato in base 64.
2. Arrestare il servizio ThingWorxFlowNginx.
3. Passare al percorso seguente:
<Directory di installazione ThingWorx Flow>\SSL
4. Copiare i file seguenti in una cartella di backup per il ripristino:
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. Sostituire il contenuto del file orchestration.crt con il contenuto del file CRT. Questo file potrebbe contenere il certificato di catena completo in formato PEM nel seguente ordine: server, intermedio e radice. Per ulteriori informazioni, fare riferimento alla nota riportata di seguito.
 | Oltre al certificato del sito, può essere necessario includere la radice CA e tutti i certificati intermedi nella catena. L'ordine dei certificati nella catena deve essere il seguente: a. Il primo file nella catena deve essere il certificato del dominio. b. Il secondo certificato nella catena deve essere il certificato dell'autorità emittente del certificato e così via fino al certificato radice. Ad esempio: -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE-----
|
6. Copiare il file orchestration.crt nel file extra.crt. Verificare che i file orchestration.crt ed extra.crt siano identici.
7. (Facoltativo) Si consiglia di modificare la chiave di crittografia per motivi di protezione. Aprire il file nginx-keyfile per ottenere il valore della chiave di crittografia corrente e modificarlo. Il valore può essere qualsiasi stringa.
8. Utilizzando Keystore Explorer o OpenSSL, crittografare la chiave privata:
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
Dove:
private.key - Percorso del file della chiave privata
encrypted_orchestration.key - Percorso del file in cui l'output del comando deve salvare la chiave privata crittografata
Viene creato un nuovo file, encrypted_orchestration.key.
9. Sostituire il contenuto del file orchestration.key con il contenuto del file encrypted_orchestration.key.
10. Avviare il servizio ThingWorxFlowNginx.
| | Se anziché un certificato firmato dall'autorità di certificazione viene creato un certificato autofirmato (ad esempio, durante la sostituzione di un certificato autofirmato scaduto), fare riferimento a Rigenerazione di un certificato autofirmato. |
Se si desidera utilizzare il certificato ThingWorx Flow
1. Arrestare il servizio ThingWorxFlowNginx.
2. Aprire il file Tomcat keystore.jks in Keystore Explorer.
3. Fare clic con il pulsante destro del mouse sulla coppia di chiavi e selezionare > .
4. Immettere un valore nel campo Password alias coppia chiavi Tomcat e fare clic su OK.
5. Selezionare il tipo OpenSSL.
6. Immettere la password di crittografia e la password PEM nei campi.
7. Selezionare una posizione e fare clic su Export.
| | Questo è il file orchestration.key. La password creata al passo (6) viene copiata in nginx-keyfile. |
8. Fare clic con il pulsante destro del mouse sulla coppia di chiavi e selezionare Export Certificate Chain.
9. Selezionare una posizione e fare clic su Export.
| | Questo è il file orchestration.crt contenente il certificato del server. |
10. Passare a directory di installazione di ThingWorx Flow/SSL.
11. Spostare tutti i file contenuti in questa cartella in una cartella di backup.
12. Copiare i seguenti file in directory di installazione di ThingWorx Flow/SSL:
◦ nginx.keyfile - Sostituire il contenuto del file con la password specificata al passo (6) durante l'esportazione della chiave privata.
◦ extra.crt - Copiare il file orchestration.crt nel file extra.crt. Dopo la copia, verificare che i file orchestration.crt ed extra.crt siano identici. Questo file contiene il certificato di catena completo in formato PEM nel seguente ordine: server, intermedio e radice.
13. Avviare il servizio ThingWorxFlowNginx.