為 PTC HTTP Server和 Windchill 配置 HTTPS
欲完成這些指示,必須安裝 Windchill Services,因為它將提供完成 HTTPS 組態所需的 site.xconf 檔案。
儘管現成的 Windchill 配置為支援 HTTP;但是 Windchill 已準備好支援 HTTPS,以便只需要最少的步驟便能夠實行 HTTPS。本節中提供的說明僅支援在「PTC HTTP Server」(與 Windchill 一同封裝的預設 Web 伺服器) 上執行 HTTPS。在其他 Web 伺服器上執行 HTTPS 的相關說明必須從產品廠商取得。
若要讓 Windchill 支援將 HTTPS 用於其他 Web 伺服器,您必須:
• 使用 xconfmanager 設定 wt.server.codebase 屬性 (位於 wt.properties 中) 以使用 HTTPS。這是針對「PTC HTTP Server」而執行的相同指示。
• 重新啟動 Web 伺服器、servlet 引擎及 Windchill 以使變更生效。
HTTPS 的組態需要使用商業授權憑證。協力廠商會發佈授權憑證。有許多組態方法可以使用授權憑證來實行。此處所提供的說明只需要花費最少的心力就能夠為您的安裝實行 HTTPS。
1. 取得授權憑證。
第一個步驟就是取得授權憑證。協力廠商會提供憑證。Windchill 要求該憑證必須受 Java 信任。如果您選擇使用 Java 不信任的憑證,則必須將 Java 配置為信任此憑證。例如,Verisign 及 Thawte 所提供的憑證是 Java 信任的授權憑證。
如果 Java 不信任 Web 伺服器授權憑證,則必須將授權憑證新增至 jssescacerts 金鑰倉庫。在執行下列指令之前,必須先將預設 JDK cacerts 檔案複製到檔案名稱 jssecacerts。Cacerts 檔案位於 <JRE>/lib/security 目錄中。
keytool -import -alias <some alias name>
-file <path to certificateAuthority.cert> -storetype jks-keystore /<JRE>/lib/security/jssecacerts
必須為 servlet 引擎、Windchill 伺服器以及所有將存取該 Web 伺服器的其他任何 Java 應用程式所使用的 JRE 配置此內容。
若要列出您的 JRE 信任的預設授權憑證,請執行:
keytool -list -v -keystore /<JRE>/lib/security/cacerts
您可於下列位置找到有關 Java 安全性的資訊:
http://java.sun.com/products/jsse
2. 將「PTC HTTP Server」配置為能夠辨識授權憑證。
憑證檔案及私密金鑰已新增至「PTC HTTP Server」。依預設,為了進行安全性存取組態,系統特別提供了兩個檔案作為參考。
For PTC HTTP Server
a. 將憑證檔案 (server.crt) 安裝至 <Apache>/conf/ 目錄中。
b. 將私密金鑰 (server.key) 安裝至 <Apache>/conf/ 目錄中。
For Apache 2.2 on HP-UX
a. 將憑證檔案 (server.crt) 安裝至 <Apache>/conf/extra/ssl.crt 目錄中。此動作將會覆疊已為此目的而提供的初始 server.crt 檔案。審核 README.CRT 檔案中的資訊。
b. 將私密金鑰 (server.key) 安裝至 <Apache>/conf/extra/ssl.key 目錄中。此動作將會覆疊已為此目的而提供的初始 server.key 檔案。審核 README.KEY 檔案中的資訊。
3. 在 PTC HTTP 伺服器 2.4 上,HTTPSERVER_HOME 中的下列指令可啟用 SSL:
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. 藉由將 URL 變更為 HTTPS,為 HTTPS 配置 Windchill。
使用 xconfmanager 將下列兩個屬性變更為適當的值:
a. wt.webserver.port=<HTTPS 使用埠>。通訊協定預設埠為 443。
b. wt.webserver.protocol=https
5. 重新啟動 PTC HTTP Server。
HTTPS PTC HTTP Server 啟動指令對 SSL 或非 SSL 伺服器是相同的:
PTC HTTP Server 2.4
Windows
<httpserver_home>\bin\httpd.exe
UNIX
<httpserver_home>/bin/apachectl
Apache 2.2 on HP-UX
<apache home>/bin/apachectl -DSSL
6. 重新啟動 Embedded Servlet Engine。
7. 重新啟動 Windchill。
其他 Windchill 產品 (如 Workgroup Manager) 也可以支援 HTTPS,並且需要其他組態才能夠轉換為 HTTPS。如需相關指示,請參閱 Workgroup Manager 文件集。
您可於下列位置找到 HTTPS 的相關資訊:
Solaris 10 with SSL
嘗試透過 HTTPS 存取 Windchill 時,如果您的系統未使用最新的作業系統與修正檔,您可能會收到「找不到」的錯誤。這是因為 Solaris 介面繫結與 Apache 主機組態發生問題。OS 將預設的廣播通道 (255.255.255.255) 錯誤轉譯為二進位格式,使 Apache 在 <apache_home>/conf/extra/httpd-ssl.conf 檔案中找不到正確相符的虛擬主機,進而產生錯誤。此錯誤有兩個可用的解決方法:
1. 編輯 <apache_首頁>/conf/extra/httpd-ssl.conf,將 <虛擬主機_預設_:port> 變更為您的 IP 位址在該機器上的任何形式。例如,將其變更為:<虛擬主機 132.253.10.34:443>。這會讓 Apache 在特定的 IP 上接聽 SSL 請求。如果您要在多個介面上接聽,必須複製整個 <虛擬主機> 標籤區段,並將 IP 變更為第二個您要用來接聽的 IP。
或
2. 編輯適當的網路檔案。編輯 /etc/nsswitch.conf 並將 dns 新增到主機區段。例如,hosts 一行可能會是這樣:"hosts: dns nis files"。完成後,您需要停用名稱-服務-快取常駐程式。透過根存取,輸入 "svcadm disable system/name-service-cache:default",這將會停用服務。Apache 將立即使用 _default v-host。欲在完成測試時重新啟用常駐程式,您可以輸入 "svcadm enable system/name-service-cache:default"