为 HTTP Server 和 Windchill 配置 HTTPS
要完成这些指示,必须安装 Windchill Services,因为它可提供完成 HTTPS 配置所需的 site.xconf 文件。
尽管出厂设置 Windchill 已配置为 HTTP,但 Windchill 已准备好支持 HTTPS,您只需最少的步骤即可实现 HTTPS。本节提供的指示仅支持使用 HTTP Server (与 Windchill 一同封装的默认 Web 服务器) 的 HTTPS。其他 Web 服务器的 HTTPS 的指示必须从产品厂商处获得。
要使 Windchill 支持其他 Web 服务器的 HTTPS,应执行以下操作:
• 使用 xconfmanager 将 wt.properties 中的 wt.server.codebase 属性设置为使用 HTTPS。此指示与针对 HTTP Server 而执行的指示相同。
• 重新启动 Web 服务器、servlet 引擎和 Windchill 以使所做更改生效。
HTTPS 配置要求使用颁发机构的商用证书。由第三方厂商来分发颁发机构的证书。使用颁发机构的证书可实现多种配置方法。此处所提供的指示要求您只需执行最少的步骤即可为您的安装实现 HTTPS。
1. 获取颁发机构的证书。
第一步是获取颁发机构的证书。由第三方厂商来提供证书。Windchill 要求证书由 Java 受托。如果选择使用不是由 Java 受托的证书,则必须对 Java 进行配置,使其受托此证书。由 Verisign 和 Thawte 提供的证书是 Java 受托的颁发机构的证书。
如果 Web 服务器颁发机构的证书未由 Java 受托,则必须将颁发机构的证书添加到 jssescacerts 密钥库中。执行以下命令前,必须将默认 JDK cacerts 文件复制到文件名 jssecacerts 中。cacerts 文件位于 <JRE>/lib/security directory 中。
keytool -import -alias <某个别名>
-file <到 certificateAuthority.cert 的路径> -storetype jks-keystore /<JRE>/lib/security/jssecacerts
必须为 servlet 引擎使用的 JRE、Windchill 服务器以及将访问 Web 服务器的任何其他 Java 应用程序进行此配置。
要列出默认的由 JRE 受托的颁发机构的证书,请执行以下命令:
keytool -list -v -keystore /<JRE>/lib/security/cacerts
可在以下站点找到有关 Java 安全性的其他信息:
http://java.sun.com/products/jsse
2. 配置 HTTP Server 以识别授权机构的证书。
将证书文件和私用密钥添加到 HTTP Server。默认情况下,这两个文件已提供,它们专门用作配置安全访问时的参考。
For PTC HTTP Server
a. 将证书文件 (server.crt) 安装到 <Apache>/conf/ 目录中。
b. 将私用密钥 (server.key) 安装到 <Apache>/conf/ 目录中。
3. 在 PTC HTTP Server 2.4 上,在 HTTPSERVER_HOME 使用以下命令启用 SSL:
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. 通过将 URL 更改为 HTTPS 来为 Windchill 配置 HTTPS。
使用 xconfmanager 将以下两个属性更改为合适的值:
a. wt.webserver.port=<用于 HTTPS 的端口>。协议默认端口为 443。
b. wt.webserver.protocol=https
5. 重新启动 HTTP Server。
HTTPS HTTP Server 启动命令对于 SSL 或非 SSL 服务器是相同的:
PTC HTTP Server 2.4
Windows
<httpserver_home>\bin\httpd.exe
UNIX
<httpserver_home>/bin/apachectl
6. 重新启动 Embedded Servlet Engine。
7. 重新启动 Windchill。
其他 Windchill 产品 (如:工作组管理器) 也可支持 HTTPS,将需要其他配置来转换到 HTTPS。有关这些指示,请参阅工作组管理器文档。
可在下列站点找到有关 HTTPS 的其他信息: