Настройка ThingWorx и ThingWorx Flow для Windchill двустороннего SSL-соединения Windchill (только для 9.0)
 |
Этот раздел не является действительным, если не используются ThingWorx Flow 9.0.2 и более поздние версии.
|
PTC рекомендует использовать протокол SSL (Secure Sockets Layer) для производственной среды. ThingWorx использует SSL для взаимной аутентификации серверов и защиты соединения между серверами.
Для конфигураций HTTPS требуется использовать сертификат центра сертификации. ThingWorx требует, чтобы сертификат был доверенным для Java. Если используется сертификат, который не является доверенным для Java, необходимо настроить Java на доверие этому сертификату. Сертификаты, предоставленные сторонними поставщиками, такими как Verisign и Thawte, являются Java-доверенными удостоверяющими сертификатами.
|
|
Этот документ содержит шаги, которые требуют минимальных усилий по реализации протокола HTTPS для установки. Это не исчерпывающий список всех опций, доступных в конфигурации SSL.
|
Предварительные требования
Перед настройкой ThingWorx и ThingWorx Flow двустороннего SSL-соединения Windchill убедитесь в соблюдении следующих условий.
• Windchill конфигурирeтся со следующими сертификатами (требуются только в том случае, если сертификат Windchill является самозаверяющим сертификатом):
◦ Сертификат Windchill
В этом документе предполагается, что сертификат Windchill сохранен в файле server.crt.
◦ Сертификат ЦС с которым создан сертификат Windchill.
В этом документе предполагается, что сертификат ЦС сохранен в файле rootCA.crt.
• Убедитесь, что путь JAVA_HOME/bin добавлен в переменную среды PATH.
Шаги
Ниже приведены основные шаги процесса.
|
|
Пропустите этот шаг, если вы уже настроили SSL для того же экземпляра ThingWorx для ThingWorx Navigate.
|
Шаг 1. Сконфигурируйте ThingWorx для двустороннего SSL-соединения Windchill
Чтобы сконфигурировать ThingWorx для двухстороннего SSL-соединения Windchill, необходимо создать файл KeyStore для приема SSL-соединений с помощью самозаверяющего сертификата. Для этого выполните следующие шаги.
1. Запустите командную строку как администратор и перейдите в расположение, в котором нужно сохранить файл KeyStore.
2. Создайте файл KeyStore Java (JKS), thingworx.JKS и создайте начальную пару открытого и закрытого ключа с псевдонимом thingworx:
keytool -genkey -alias thingworx -keyalg rsa -dname "CN=<Полное доменное имя сервера ThingWorx>" -keystore thingworx.jks -storetype JKS
В ответ на запрос введите тот же самый пароль для файла KeyStore и закрытого ключа.
Убедитесь, что пароль содержит только буквы и цифры. Специальные символы не поддерживаются. PTC не несет ответственности за безопасность сертификатов и создаваемых файлов KeyStore и TrustStore.
|
|
Если вы не запускаете командную строку как администратор, может появиться следующее сообщение об ошибке:
keytool error: java.io.FileNotFoundException: thingworx.jks (Access is denied)
|
3. Создайте самозаверяющий сертификат для ключа:
keytool -selfcert -alias thingworx -validity 1825 -keystore thingworx.jks -storetype JKS
При запросе пароля KeyStore введите тот же пароль, который был введен для предыдущей команды.
4. Экспортируйте открытый ключ для нового самозаверяющего сертификата:
keytool -export -alias thingworx -file thingworx.cer -rfc -keystore thingworx.jks -storetype JKS
Шаг 2. Сконфигурируйте ThingWorx Flow для двустороннего SSL-соединения Windchill
Часть A. Получение сертификата и закрытого ключа, связанных с KeyStore thingworx.JKS
1. Загрузите и установите проводник KeyStore.
2. В проводнике KeyStore откройте файл ThingWorx KeyStore, thingworx.JKS, созданный на шаге 1.
В ответ на запрос введите правильный пароль KeyStore.
3. Щелкните правой кнопкой мыши thingworx и выберите > , чтобы экспортировать сертификат, связанный с KeyStore thingworx.JKS:
4. В окне Export Certificate Chain from entry "thingworx" выполните следующие действия.
a. Для опции Export Length выберите Head Only.
b. Для опции Export Format выберите X.509.
c. Установите флажок PEM.
d. В поле Export File щелкните Browse, чтобы перейти к расположению, в котором нужно сохранить экспортированный сертификат. Например: thingworx.crt.
e. Щелкните Export.
5. Щелкните правой кнопкой мыши thingworx и выберите > , чтобы экспортировать закрытый ключ, связанный с KeyStore thingworx.JKS.
6. В окне Export Private Key Type выберите PKCS#8 и щелкните ОК.
7. В окне Export Private Key as PKCS#8 выполните следующие действия из записи KeyStore "thingworx".
a. Снимите флажок Encrypt.
b. Установите флажок PEM.
c. В поле Export File щелкните Browse, чтобы перейти к расположению, в котором нужно сохранить экспортируемый закрытый ключ. Например: thingworx.key.
d. Щелкните Export.
Часть B. Добавление сертификатов ThingWorx и Windchill в ThingWorx Flow TrustStore
1. Значение параметра secret используется для расшифровки TrustStore. Чтобы получить значение параметра secret, запустите командную строку как администратор на компьютере, на котором установлено приложение ThingWorx Flow, и выполните следующие команды.
a. pm2 ls
Запишите значение идентификатора любого сервиса ThingWorx Flow.
b. pm2 env <ИД>
, где <ИД> - идентификатор любого сервиса ThingWorx Flow. Например: идентификатор сервиса flow-api.
c. Скопируйте значение переменной CONFIG_IMAGE. Это значение параметра secret.
2. Выполните команду:
<каталог установки ThingWorx Flow>\cryptography\tw-security-common-nodejs npm link
3. Выполните следующую команду, чтобы добавить файл сертификата thingworx.crt в TrustStore:
PtcOrchKeyFileTool set --keyName thingworx-crt --keyPath <путь к thingworx.crt> --configPath <<абсолютный путь к файлу config.json любого сервиса Flow> --secret <секрет для дешифрования TrustStore>
Не изменяйте значение параметра keyName. Он должен иметь значение thingworx-crt.
4. Выполните следующую команду, чтобы добавить файл закрытого ключа thingworx.key в TrustStore:
PtcOrchKeyFileTool set --keyName thingworx-key --keyPath <путь к thingworx.key> --configPath <абсолютный путь к файлу config.json любого сервиса Flow> --secret <секрет для дешифрования TrustStore>
Не изменяйте значение параметра keyName. Он должен иметь значение thingworx-key.
5. Если сертификат Windchill является самозаверяющим сертификатом, выполните следующие действия.
a. Создайте новый файл ca.crt.
b. Вставьте содержимое файлов rootCA.crt и server.crt в файл ca.crt.
c. Выполните следующую команду, чтобы добавить сертификат Windchill в TrustStore:
PtcOrchKeyFileTool set --keyName <Windchill-crt>--keyPath <путь к файлу ca.crt> --configPath <абсолютный путь к файлу config.json любого сервиса Flow> --secret <секрет для дешифрования TrustStore>
Для этой команды можно изменить значение параметра keyName. Для нескольких серверов Windchill убедитесь, что для параметра keyName заданы другие значения.
6. Перезапустите ThingWorx и сервер ThingWorx Flow.
Вы успешно настроили ThingWorx и ThingWorx Flow для двустороннего SSL-соединения Windchill.
Теперь можно добавить двустороннее SSL-соединение Windchill для любого действия Windchill. Дополнительные сведения см. в разделе Добавление двустороннего SSL-соединения Windchill.