為 PTC HTTP Server 和 Windchill 配置 HTTPS
欲完成這些指示,必須安裝 Windchill Services,因為它將提供完成 HTTPS 組態所需的 site.xconf 檔案。
儘管現成的 Windchill 配置為支援 HTTP;但是 Windchill 已準備好支援 HTTPS,以便只需要最少的步驟便能夠實行 HTTPS。本節中提供的說明僅支援在「HTTP Server」(與 Windchill 一同封裝的預設 Web 伺服器) 上執行 HTTPS。在其他 Web 伺服器上執行 HTTPS 的相關說明必須從產品廠商取得。
若要讓 Windchill 支援將 HTTPS 用於其他 Web 伺服器,您必須:
• 使用 xconfmanager 設定 wt.server.codebase property 屬性 (位於 wt.properties 中) 以使用 HTTPS。這是針對「HTTP Server」而執行的相同指示。
• 重新啟動 Web 伺服器、servlet 引擎及 Windchill 以使變更生效。
HTTPS 的組態需要使用商業授權憑證。協力廠商會發佈授權憑證。有許多組態方法可以使用授權憑證來實行。此處所提供的說明只需要花費最少的心力就能夠為您的安裝實行 HTTPS。
1. 取得授權憑證。
第一個步驟就是取得授權憑證。協力廠商會提供憑證。Windchill 要求該憑證必須受 Java 信任。如果您選擇使用 Java 不信任的憑證,則必須將 Java 配置為信任此憑證。例如,Verisign 及 Thawte 所提供的憑證是 Java 信任的授權憑證。
如果 Java 不信任 Web 伺服器授權憑證,則必須將授權憑證新增至 jssescacerts 金鑰倉庫。在執行下列指令之前,必須先將預設 JDK cacerts 檔案複製到檔案名稱 jssecacerts。Cacerts 檔案位於 <JAVA_HOME>/lib/security 目錄中。
keytool -import -alias <some alias name>
-file <path to certificateAuthority.cert> -storetype jks-keystore /<JAVA_HOME>/lib/security/jssecacerts
必須為 servlet 引擎、Windchill 伺服器以及所有將存取該 Web 伺服器的其他任何 Java 應用程式所使用的 JDK 配置此內容。
欲列出您的 JDK 信任的預設授權憑證,請執行:
keytool -list -v -keystore /<JAVA_HOME>/lib/security/cacerts
您可於下列位置找到有關 Java 安全性的資訊:
http://java.sun.com/products/jsse
2. 將「HTTP Server」配置為能夠辨識授權憑證。
憑證檔案及私密金鑰已新增至「HTTP Server」。依預設,為了進行安全性存取組態,系統特別提供了兩個檔案作為參考。
For PTC HTTP Server
a. 將憑證檔案 (server.crt) 安裝至 <Apache>/conf/ 目錄中。
b. 將私密金鑰 (server.key) 安裝至 <Apache>/conf/ 目錄中。
3. 在 PTC HTTP 伺服器 2.4 上,HTTPSERVER_HOME 中的下列指令可啟用 SSL:
ant -DHTTPS_ENABLED=true -f config.xml reconfigure
4. 藉由將 URL 變更為 HTTPS,為 HTTPS 配置 Windchill。
使用 xconfmanager 將下列兩個屬性變更為適當的值:
a. wt.webserver.port=<HTTPS 使用埠>。通訊協定預設埠為 443。
b. wt.webserver.protocol=https
5. 重新啟動 HTTP Server。
HTTP Server 啟動指令對 SSL 或非 SSL 伺服器是相同的:
◦ Windows:
<httpserver_home>\bin\httpd.exe
◦ 針對 Unix:
<httpserver_home>/bin/apachectl
6. 重新啟動 Embedded Servlet Engine。
7. 重新啟動 Windchill。
其他 Windchill 產品 (如 Workgroup Manager) 也可以支援 HTTPS,並且需要其他組態才能夠轉換為 HTTPS。如需相關指示,請參閱 Workgroup Manager 文件集。
HTTP Strict-Transport-Security (HSTS) 組態
HSTS 可協助防止網站遭到通訊協定降級攻擊與 cookie 劫持攻擊。從 Windchill 12.0.1.0 開始,將會在針對 HTTPS 配置的 Windchill 伺服器中 OOTB 設定 HSTS 組態。如需安全部署,應始終在網站中配置 HTTPS。
• 有關以保留組態選項部署 HTTP 伺服器的資訊,請參閱《Windchill 安裝與組態指南 - 更新現有安裝版》中〈後更新選項〉說明主題小節中的〈更新 HTTP 伺服器組態檔案〉一節。
• 有關以保留組態選項部署 HTTP 伺服器的資訊,請參閱
後更新選項說明主題中的「更新 HTTP 伺服器組態檔案」部份。
|
PTC 強烈建議您在 Windchill 安裝中配置 HTTP Strict-Transport-Security (HSTS)。
|
如需針對 IIS 啟用 HSTS,請遵循下列指示:
1. 使用 HTTPS 配置 IIS。
2. 從「IIS 管理員」的左窗格中,選取節點 <ComputerName/Site>。
3. 在中間窗格中,按一下「HTTP 回應標頭」。
4. 在「動作」面板中按一下「新增...」。
5. 在「新增自訂 HTTP 回應標頭」對話方塊中輸入下列值:
◦ 「名稱」:Strict-Transport-Security
◦ 「值」:max-age=10368000; includeSubDomains;
6. 重新啟動網站。