使用 CA 签名证书配置 ThingWorx Flow 主机名 (NGINX 服务器)
如果您有一个专用私钥和一个带公钥的证书 (crt) 文件:
1. 请确保 CRT 文件受证书颁发机构信任,并且是 base-64 编码。
2. 停止 ThingWorxFlowNginx 服务。
3. 导航到以下路径:
<ThingWorx Flow Installation directory>\SSL
4. 将以下文件复制到备份文件夹中以进行恢复:
◦ orchestration.crt
◦ orchestration.key
◦ extra.crt
◦ nginx-keyfile
5. 用 CRT 文件的内容替换 orchestration.crt 文件的内容。此文件可能以 PEM 格式包含完整链证书,顺序如下:服务器、中间和根。有关详细信息,请参阅下面的注解。
 | 除站点证书外,可能还需要将 CA 的根和任何中间证书包括在链中。 链中证书的顺序必须如下所示: a. 链中第一个文件必须是您的域的证书。 b. 链中第二个证书必须是您的证书颁发者的证书,依此类推,直至根证书。 例如: -----BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---- -----BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---- ------BEGIN CERTIFICATE---- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE-----
|
6. 将 orchestration.crt 复制到 extra.crt 文件。请确保 orchestration.crt 和 extra.crt 文件相同。
7. (可选) 出于安全考虑,建议更改加密密钥。打开 nginx-keyfile 文件以获取当前加密密钥值,并对其进行更改。该值可以是任何字符串。
8. 使用 Keystore Explorer 或 openssl 加密私钥:
openssl rsa -aes256 -passout pass:<password in nginx-keyfile> -in <private.key> -out <encrypted_orchestration.key>
其中:
private.key - 私钥文件的文件路径
encrypted_orchestration.key - 命令输出必须保存加密私钥的文件路径
即会创建新文件 encrypted_orchestration.key。
9. 将 orchestration.key 文件的内容替换为 encrypted_orchestration.key 文件内容。
10. 启动 ThingWorxFlowNginx 服务。
| | 如果创建了自签名证书 (例如替换已过期的自签名证书),而非 CA 签名证书,请参阅重新生成自签名证书。 |
如果要使用 ThingWorx Flow 证书
1. 停止 ThingWorxFlowNginx 服务。
2. 在 Keystore Explorer 中打开 Tomcat keystore.jks 文件。
3. 右键单击密钥对,然后选择 > 。
4. 输入 Tomcat Key Pair Alias Password,然后单击 OK。
5. 选择 OpenSSL 类型。
6. 在字段中输入 encryption password 和 PEM password。
7. 浏览至任意位置,然后单击 Export。
| | 导出文件为 orchestration.key。 在步骤 (6)中创建的密码被复制到 nginx-keyfile 中。 |
8. 右键单击密钥对,然后选择 Export Certificate Chain。
9. 浏览至任意位置,然后单击 Export。
| | 此文件为 orchestration.crt,并且包含服务器证书。 |
10. 浏览至 ThingWorx Flow 安装目录/SSL。
11. 将此文件夹中的所有文件移至备份文件夹。
12. 将以下文件复制到 ThingWorx Flow 安装目录/SSL:
◦ extra.crt - 将 orchestration.crt 复制到 extra.crt 文件。复制后,请确保 orchestration.crt 和 extra.crt 文件相同。此文件以 PEM 格式包含完整链证书,顺序如下:服务器、中间和根。
13. 启动 ThingWorxFlowNginx 服务。