Конфигурирование имени хост-компьютера ThingWorx Flow (сервер NGINX) с сертификатом, подписанным ЦС
При наличии собственного закрытого ключа и файла сертификата (CRT) с открытым ключом необходимо выполнить следующие шаги.
1. Убедитесь, что файл CRT заверен центром сертификации и имеет кодировку Base-64.
2. Остановите сервис ThingWorxFlowNginx.
3. Перейдите к следующему расположению:
<каталог установки ThingWorx Flow>\SSL
4. Скопируйте следующие файлы в папку резервного копирования для восстановления:
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. Замените содержимое файла orchestration.crt на содержимое файла CRT. Этот файл может содержать сертификаты всей цепочки в формате PEM в следующем порядке: Server (Сервер), Intermediate (Промежуточный) и Root (Корневой). Дополнительные сведения см. в заметке ниже.
| В дополнение к сертификату сайта может потребоваться включить в цепочку корневой ЦС и любые промежуточные сертификаты. Порядок сертификатов в цепочке должен быть следующим: a. Первым файлом в цепочке должен быть сертификат домена. b. Вторым сертификатом в цепочке должен быть сертификат издателя сертификата и т. д. до корневого сертификата. Например: -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE----- | Имена файлов используются только в качестве примера. Дополнительные инструкции см. на сайте ЦС в разделе How to Create a .pem File for SSL Certificate Installations (Создание файла .pem для установок с сертификатом SSL) (на английском языке). |
|
6. Скопируйте файл orchestration.crt в файл extra.crt. Убедитесь, что файлы orchestration.crt и extra.crt идентичны.
7. (Необязательно) Рекомендуется изменить ключ шифрования по соображениям безопасности. Откройте файл nginx-keyfile, чтобы получить текущее значение ключа шифрования, и измените его. Значением может быть любая строка.
8. Используя Keystore Explorer или OpenSSL, зашифруйте закрытый ключ:
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
Здесь:
private.key - путь к файлу закрытого ключа
encrypted_orchestration.key - путь к файлу, в котором команда должна сохранить зашифрованный закрытый ключ
Создается новый файл encrypted_orchestration.key.
9. Замените содержимое файла orchestration.key на содержимое файла encrypted_orchestration.key.
10. Запустите сервис ThingWorxFlowNginx.
| Сведения о создании самоподписанного сертификата вместо сертификата с подписью ЦС (например, при замене самоподписанного сертификата с истекшим сроком действия) см. в разделе Регенерация самоподписанного сертификата. |
Если требуется использовать сертификат ThingWorx Flow, выполните следующие действия.
1. Остановите сервис ThingWorxFlowNginx.
2. Откройте файл Tomcat keystore.jks в Keystore Explorer.
3. Щелкните правой кнопкой мыши пару ключей и выберите > .
4. Введите пароль Tomcat Key Pair Alias Password и нажмите кнопку OK.
5. Выберите тип OpenSSL.
6. Введите пароль шифрования и пароль PEM в соответствующие поля.
7. Перейдите в любое расположение и щелкните Export.
| Это orchestration.key. Пароль, созданный на шаге 6, копируется в nginx-keyfile. |
8. Щелкните правой кнопкой мыши пару ключей и выберите Export Certificate Chain.
9. Перейдите в любое расположение и щелкните Export.
| Этот файл orchestration.crt содержит сертификат сервера. |
10. Перейдите к <Каталог установки ThingWorx Flow>/SSL.
11. Переместите все файлы из этой папки в папку резервной копии.
12. Скопируйте следующие файлы в <Каталог установки ThingWorx Flow>/SSL:
◦ orchestration.crt - создается на
шаге 9. Содержит сертификат сервера.
◦ orchestration.key - создается на
шаге 7.
◦ nginx.keyfile - замените содержимое этого файла паролем, указанным на
шаге 6 при экспорте закрытого ключа.
◦ extra.crt - скопируйте файл orchestration.crt в файл extra.crt. После копирования убедитесь, что файлы orchestration.crt и extra.crt идентичны. Этот файл содержит сертификаты всей цепочки в формате PEM в следующем порядке: "сервер", "промежуточный" и "корневой".
13. Запустите сервис ThingWorxFlowNginx.