为 PTC HTTP Server 和 Windchill 配置 HTTPS
要完成这些指示,必须安装 Windchill Services,因为它可提供完成 HTTPS 配置所需的 site.xconf 文件。
尽管出厂设置 Windchill 已配置为 HTTP,但 Windchill 已准备好支持 HTTPS,您只需最少的步骤即可实现 HTTPS。本节提供的指示仅支持使用 PTC HTTP Server (与 Windchill 一同封装的默认 Web 服务器) 的 HTTPS。其他 Web 服务器的 HTTPS 的指示必须从产品厂商处获得。
要使 Windchill 支持其他 Web 服务器的 HTTPS,应执行以下操作:
• 使用 xconfmanager 将 wt.properties 中的 wt.server.codebase 属性设置为使用 HTTPS。此指示与针对 PTC HTTP Server 而执行的指示相同。
• 重新启动 Web 服务器、servlet 引擎和 Windchill 以使所做更改生效。
HTTPS 配置要求使用颁发机构的商用证书。由第三方厂商来分发颁发机构的证书。使用颁发机构的证书可实现多种配置方法。此处所提供的指示要求您只需执行最少的步骤即可为您的安装实现 HTTPS。
1. 获取颁发机构的证书。
第一步是获取颁发机构的证书。由第三方厂商来提供证书。Windchill 要求证书由 Java 受托。如果选择使用不是由 Java 受托的证书,则必须对 Java 进行配置,使其受托此证书。由 Verisign 和 Thawte 提供的证书是 Java 受托的颁发机构的证书。
如果 Web 服务器颁发机构的证书未由 Java 受托,则必须将颁发机构的证书添加到 jssescacerts 密钥库中。执行以下命令前,必须将默认 JDK cacerts 文件复制到文件名 jssecacerts 中。cacerts 文件位于 <JRE>/lib/security directory 中。
keytool -import -alias <某个别名>
-file <到 certificateAuthority.cert 的路径> -storetype jks-keystore /<JRE>/lib/security/jssecacerts
必须为 servlet 引擎使用的 JRE、Windchill 服务器以及将访问 Web 服务器的任何其他 Java 应用程序进行此配置。
要列出默认的由 JRE 受托的颁发机构的证书,请执行以下命令:
keytool -list -v -keystore /<JRE>/lib/security/cacerts
可在以下站点找到有关 Java 安全性的其他信息:
http://java.sun.com/products/jsse
2. 配置 PTC HTTP Server 以识别授权机构的证书。
将证书文件和私用密钥添加到 PTC HTTP Server。默认情况下,这两个文件已提供,它们专门用作配置安全访问时的参考。
For PTC HTTP Server
a. 将证书文件 (server.crt) 安装到 <Apache>/conf/ 目录中。
b. 将私用密钥 (server.key) 安装到 <Apache>/conf/ 目录中。
3. 在 PTC HTTP Server 2.4 上,在 HTTPSERVER_HOME 使用以下命令启用 SSL:
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. 通过将 URL 更改为 HTTPS 来为 Windchill 配置 HTTPS。
使用 xconfmanager 将以下两个属性更改为合适的值:
a. wt.webserver.port=<用于 HTTPS 的端口>。协议默认端口为 443。
b. wt.webserver.protocol=https
5. 重新启动 PTC HTTP Server。
HTTPS PTC HTTP Server 启动命令对于 SSL 或非 SSL 服务器是相同的:
PTC HTTP Server 2.4
Windows
<httpserver_home>\bin\httpd.exe
UNIX
<httpserver_home>/bin/apachectl
6. 重新启动 Embedded Servlet Engine。
7. 重新启动 Windchill。
其他 Windchill 产品 (如:工作组管理器) 也可支持 HTTPS,将需要其他配置来转换到 HTTPS。有关这些指示,请参阅工作组管理器文档。
可在下列站点找到有关 HTTPS 的其他信息:
Solaris 10 with SSL
当试图通过 HTTPS 访问 Windchill 时,如果您的系统未使用最新操作系统和修补程序进行更新,则可能会收到“未找到”错误。这是由于 Solaris 接口绑定和 Apache 主机配置的问题。OS 错误地将默认广播通道 (255.255.255.255) 转换为二进制形式,这样 Apache 无法在 <apache_home>/conf/extra/httpd-ssl.conf 文件中找到正确匹配的虚拟主机,从而导致错误。有两种方法可以解决此问题:
1. 编辑 <apache_home>/conf/extra/httpd-ssl.conf 并将 <VirtualHost_default_:port> 更改为此计算机上的 IP 地址端口。例如,将其更改为:<VirtualHost 132.253.10.34:443>。这将导致 Apache 监听特定 IP 上的 SSL 请求。如果想要监听多个接口,则需要复制整个 <VirtualHost> 标记部分并将 IP 更改为想要监听的另一个 IP。
或
2. 编辑适当的网络文件。编辑 /etc/nsswitch.conf 并将 dns 添加到 hosts 部分。例如,主机行可以如下所示:"hosts: dns nis files"。一旦完成此操作,便需要禁用 name-service-cache daemon。使用根访问权限键入 "svcadm disable system/name-service-cache:default",这将禁用该服务。现在,Apache 将使用 _default v-host。要在完成测试后重新启用 daemon,可键入 "svcadm enable system/name-service-cache:default"