CA 署名証明書を使用した ThingWorx Flow ホスト名 (NGINX サーバー) の設定
専用の秘密キーと、公開キー付きの証明書 (crt) ファイルがある場合:
1. CRT ファイルが証明機関によって信頼されており、base64 でエンコードされていることを確認してください。
2. ThingWorxFlowNginx サービスを停止します。
3. 以下のパスに移動します。
<ThingWorx Flow インストールディレクトリ>\SSL
4. 次のファイルを回復用のバックアップフォルダにコピーします。
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. orchestration.crt ファイルのコンテンツを CRT ファイルのコンテンツに置き換えます。このファイルには、サーバー、中間、ルートの順に、PEM フォーマットの完全なチェーン証明書が含まれていることがあります。詳細については、以下の注記を参照してください。
| サイト証明書に加え、チェーン内の CA ルートとすべての中間証明書を含めなければならない場合もあります。 チェーン内の証明書の順序は次のようになります。 a. チェーン内の最初のファイルは、ドメインの証明書でなければなりません。 b. チェーン内の 2 番目の証明書は、証明書の発行者の証明書でなければなりません。これは、ルートの証明書まで同様になります。 例: -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE----- | ファイル名は、この例の目的のみで使用されています。詳細な手順については、CA サイトの SSL 証明書のインストールに使用する .pem ファイルの作成方法に関する説明を参照してください。 |
|
6. orchestration.crt を extra.crt ファイルにコピーします。ファイル orchestration.crt と extra.crt が同一であることを確認します。
7. (オプション) セキュリティ上の理由により、暗号化キーを変更することをお勧めします。nginx-keyfile ファイルを開いて現在の暗号化キー値を取得し、変更します。この値には任意の文字列を指定できます。
8. Keystore Explorer または OpenSSL を使用して、秘密キーを暗号化します。
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
ここで、
private.key - 秘密キーファイルのファイルパス
encrypted_orchestration.key - コマンド出力での暗号化された秘密キーの保存先となるファイルパス
新しいファイル encrypted_orchestration.key が作成されます。
9. orchestration.key ファイルのコンテンツを encrypted_orchestration.key ファイルのコンテンツに置き換えます。
10. ThingWorxFlowNginx サービスを開始します。
| CA 署名証明書の代わりに自己署名証明書が作成される場合は (期限切れの自己署名証明書を置き換えるときなど)、 自己署名証明書の再生成を参照してください。 |
ThingWorx Flow 証明書を使用する場合
1. ThingWorxFlowNginx サービスを停止します。
2. Keystore Explorer で Tomcat keystore.jks ファイルを開きます。
3. キーペアを右クリックして、 > の順に選択します。
4. Tomcat キーペアのエイリアスパスワードを入力し、「OK」をクリックします。
5. タイプ「OpenSSL」を選択します。
6. フィールドに暗号化パスワードと PEM パスワードを入力します。
7. 任意の場所をブラウズし、「Export」をクリックします。
| これは orchestration.key です。 手順 (6)で作成したパスワードが nginx-keyfile にコピーされます。 |
8. キーペアを右クリックして、「Export Certificate Chain」を選択します。
9. 任意の場所をブラウズし、「Export」をクリックします。
| このファイルは orchestration.crt であり、サーバー証明書が含まれています。 |
10. <ThingWorx Flow のインストールディレクトリ>/SSL をブラウズします。
11. このフォルダ内のすべてのファイルをバックアップフォルダに移動します。
12. 次のファイルを、<ThingWorx Flow インストールディレクトリ>/SSL にコピーします。
◦ orchestration.crt -
手順 (9)で作成されました。サーバー証明書が含まれています。
◦ orchestration.key -
手順 (7)で作成されました。
◦ nginx.keyfile - 秘密キーをエクスポートする際に、ファイルのコンテンツを
手順 (6)で指定したパスワードに置き換えます。
◦ extra.crt - orchestration.crt を extra.crt ファイルにコピーします。コピーした後、ファイル orchestration.crt と extra.crt が同一であることを確認します。このファイルには、サーバー、中間、ルートの順に、PEM フォーマットの完全なチェーン証明書が含まれています。
13. ThingWorxFlowNginx サービスを開始します。