Configurazione di ThingWorx e ThingWorx Flow per una connessione SSL bidirezionale Windchill (solo 9.0)
 |
Questo argomento non è valido per ThingWorx Flow 9.0.2 e versioni successive.
|
PTC consiglia di utilizzare il protocollo SSL (Secure Sockets Layer) per un ambiente di produzione. ThingWorx usa SSL per autenticare reciprocamente i server e proteggere la comunicazione tra i server.
Le configurazioni per HTTPS richiedono l'utilizzo di un certificato di autorità. ThingWorx richiede che il certificato sia considerato attendibile da Java. Se si utilizza un certificato che Java non ritiene attendibile, è necessario configurare Java in modo che lo consideri attendibile. I certificati forniti da fornitori di terze parti, ad esempio Verisign e Thawte, sono certificati di autorità considerati attendibili da Java.
|
|
In questo documento sono illustrati i passi che richiedono uno sforzo minimo per l'implementazione di HTTPS per l'installazione. Non è un elenco esaustivo di tutte le opzioni disponibili in una configurazione SSL.
|
Prerequisiti
Prima di configurare ThingWorx e ThingWorx Flow per una connessione SSL bidirezionale Windchill, assicurarsi di soddisfare i prerequisiti riportati di seguito.
• Windchill è configurato con i certificati riportati di seguito (obbligatori solo se il certificato Windchill è un certificato autofirmato).
◦ Certificato Windchill
Questo documento presuppone che il certificato Windchill sia memorizzato nel file server.crt.
◦ Certificato CA con cui viene creato il certificato Windchill
Questo documento presuppone che il certificato CA sia memorizzato nel file rootCA.crt.
• Assicurarsi di aggiungere JAVA_HOME/bin alla variabile di ambiente PATH.
Passi
I passi principali del processo sono i seguenti:
|
|
Ignorare questo passo se si è già configurato SSL per la stessa istanza di ThingWorx per ThingWorx Navigate.
|
Passo 1: configurare ThingWorx per una connessione SSL bidirezionale Windchill
Per configurare ThingWorx per una connessione SSL bidirezionale Windchill, è necessario generare un file keystore per accettare le connessioni SSL utilizzando un certificato autofirmato. A questo scopo attenersi alla procedura riportata di seguito.
1. Avviare il prompt dei comandi come amministratore e selezionare il percorso in cui si desidera salvare il file keystore.
2. Creare un file keystore Java (JKS), thingworx.jks, e generare una coppia iniziale di chiave pubblica e chiave privata con l'alias, thingworx:
keytool -genkey -alias thingworx -keyalg rsa -dname "CN=<Nome di dominio completo del server ThingWorx>" -keystore thingworx.jks -storetype JKS
Quando richiesto, immettere la stessa password per il file keystore e la chiave privata.
Assicurarsi che la password includa solo lettere e numeri. I caratteri speciali non sono supportati. PTC non si assume la responsabilità della sicurezza dei certificati e dei file keystore e truststore generati.
|
|
Se non si avvia il prompt dei comandi come amministratore, è possibile che venga visualizzato il seguente errore:
keytool error: java.io.FileNotFoundException: thingworx.jks (Access is denied)
|
3. Generare un certificato autofirmato per la chiave:
keytool -selfcert -alias thingworx -validity 1825 -keystore thingworx.jks -storetype JKS
Quando viene richiesto di immettere la password per il keystore, inserire la stessa password immessa per il comando precedente.
4. Esportare la chiave pubblica per il nuovo certificato autofirmato:
keytool -export -alias thingworx -file thingworx.cer -rfc -keystore thingworx.jks -storetype JKS
Passo 2: configurare ThingWorx Flow per una connessione SSL bidirezionale Windchill
Parte A - Ottenere il certificato e la chiave privata associati al keystore thingworx.jks
1. Scaricare e installare KeyStore Explorer.
2. In KeyStore Explorer aprire thingworx.jks, ovvero il keystore ThingWorx creato al passo 1.
Quando richiesto, immettere la password corretta per il keystore.
3. Fare clic con il pulsante destro del mouse su thingworx e selezionare > per esportare il certificato associato al keystore thingworx.jks.
4. Nella finestra Export Certificate Chain from entry 'thingworx' effettuare le operazioni descritte di seguito.
a. In Export Length selezionare Head Only.
b. In Export Format selezionare X.509.
c. Selezionare la casella di controllo PEM.
d. Nel campo Export File fare clic su Browse per selezionare il percorso in cui si desidera salvare il certificato esportato, ad esempio thingworx.crt.
e. Fare clic su Export.
5. Fare clic con il pulsante destro del mouse su thingworx e selezionare > per esportare la chiave privata associata al keystore thingworx.jks.
6. Nella finestra Export Private Key Type selezionare PKCS#8, quindi fare clic su OK.
7. Nella finestra Export Private Key as PKCS#8 from KeyStore Entry 'thingworx' effettuare le operazioni descritte di seguito.
a. Deselezionare la casella di controllo Encrypt.
b. Selezionare la casella di controllo PEM.
c. Nel campo Export File fare clic su Browse per selezionare il percorso in cui si desidera salvare la chiave privata esportata, ad esempio thingworx.key.
d. Fare clic su Export.
Parte B - Aggiungere i certificati di ThingWorx e Windchill al truststore di ThingWorx Flow
1. Il valore del parametro secret viene utilizzato per decrittografare il truststore. Per ottenere il valore del parametro secret, avviare il prompt dei comandi come amministratore nel computer su cui è installato ThingWorx Flow ed eseguire i comandi seguenti:
a. pm2 ls
Annotare il valore dell'ID di un servizio ThingWorx Flow qualsiasi.
b. pm2 env <ID>
dove <ID> è l'ID di un servizio ThingWorx Flow qualsiasi, ad esempio l'ID del servizio flow-api.
c. Copiare il valore della variabile CONFIG_IMAGE. Questo è il valore del parametro secret.
2. Eseguire il comando seguente:
<Directory installazione ThingWorx Flow>\cryptography\tw-security-common-nodejs npm link
3. Per aggiungere il file del certificato thingworx.crt al truststore, eseguire il comando seguente:
PtcOrchKeyFileTool set --keyName thingworx-crt --keyPath <Percorso di thingworx.crt> --configPath <<Percorso assoluto del file config.json di qualsiasi servizio Flow> --secret <Segreto per decrittografare il truststore>
Non modificare il valore del parametro keyName. Deve essere impostato su thingworx-crt.
4. Per aggiungere il file della chiave privata thingworx.key al truststore, eseguire il comando seguente:
PtcOrchKeyFileTool set --keyName thingworx-key --keyPath <Percorso di thingworx.key> --configPath <Percorso assoluto del file config.json di qualsiasi servizio Flow> --secret <Segreto per decrittografare il truststore>
Non modificare il valore del parametro keyName. Deve essere impostato su chiave-thingworx.
5. Se il certificato di Windchill è un certificato autofirmato, attenersi alla procedura descritta di seguito.
a. Creare un nuovo file, ca.crt.
b. Incollare il contenuto dei file rootCA.crt e server.crt nel file ca.crt.
c. Per aggiungere il certificato di Windchill al truststore, eseguire il comando seguente:
PtcOrchKeyFileTool set --keyName <Windchill-crt>--keyPath <Percorso del file ca.crt> --configPath <Percorso assoluto del file config.json di qualsiasi servizio Flow> --secret <Segreto per decrittografare il truststore>
Per questo comando è possibile modificare il valore del parametro keyName. Per più server Windchill assicurarsi di impostare valori diversi per il parametro keyName.
6. Riavviare i server ThingWorx e ThingWorx Flow.
ThingWorx e ThingWorx Flow sono stati configurati per una connessione SSL bidirezionale Windchill.
A questo punto è possibile aggiungere una connessione SSL bidirezionale Windchill per qualsiasi azione di Windchill. Per ulteriori informazioni, vedere Aggiunta di un tipo di connettore SSL bidirezionale.