Einheitlicher Schlüsselspeicher des MID-Servers

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 7 Minuten Lesedauer

    • Der einheitliche Schlüsselspeicher DES MID-Servers ermöglicht allen Produkten auf dem MID-Server die Verwendung allgemeiner Zertifikate und Schlüsselpaare. Mit dieser Funktion können Anwendungen denselben sicheren Kommunikationskanal zum MID-Server verwenden, den der MID-Server für die Verbindung mit der Instanz verwendet.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Beim Starten des MID-Servers wird der allgemeine Name (CN) des Zertifikats überprüft, um festzustellen, ob ein anwenderdefiniertes Zertifikat installiert wurde. Wenn ein anwenderdefiniertes Zertifikat erkannt wird, wird die Erstellung des Zertifikats/Schlüsselpaars übersprungen, und im Datensatz „ecc_Agent“ wird ein Attribut festgelegt, das die Verwendung eines anwenderdefinierten Zertifikats angibt.

    Wenn ein anwenderdefiniertes Zertifikat verwendet wird Schlüssel erneut eingeben UI-Aktion ist in der Instanz für den MID-Server deaktiviert. Eine neue UI-Aktion wurde aufgerufen Anwenderdefiniertes Schlüsselpaar entfernen Ist verfügbar, um zurück zur Verwendung eines selbst signierten Zertifikats zu wechseln. Durch die Verwendung dieser Aktion entfernt der MID-Server das anwenderdefinierte Zertifikat und generiert ein neues selbstsigniertes Zertifikat, ähnlich der Option „Neu-Schlüssel“.

    Wenn ein MID aktualisiert wird, werden alle installierten anwenderdefinierten Zertifikate beibehalten.

    PEM-Paketunterstützung

    Der zentrale Schlüsselspeicher DES MID-Servers unterstützt PEM-Paketzertifikate und Schlüsselpaare.

    Beispiel für PEM-Paket

    -----BEGIN PRIVATE KEY----- 

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9 

... 

oPdU+h0grs9SJp6rFx0PzDY= 

-----END PRIVATE KEY----- 

Bag Attributes 

    friendlyName: <myCustomCert>

    localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31  

subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

-----BEGIN CERTIFICATE----- 

MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV 

... 

4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs= 

-----END CERTIFICATE-----

    Installieren Sie anwenderdefinierte Zertifikate im zentralen Schlüsselspeicher des MID-Servers

    Installieren Sie anwenderdefinierte Zertifikate, um die Sicherheitskanäle für verschiedene Anwendungen zu vereinheitlichen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Bei der Installation des Zertifikats auf einem MID-Server, der in Linux gehostet wird, install-certificate.sh Kann nicht reagieren, wenn die Anzahl des Linux-Entropiepools weniger als einige hundert beträgt. Überprüfen Sie die Entropieanzahl des Linux-Pseudo-Zufallszahlgenerators (PRNG) mit dem folgenden Befehl: 
    cat /proc/sys/kernel/random/entropy_avail
    Wenn die Entropieanzahl zu niedrig ist, können Sie einen Entropiegenerator wie RNGD oder Haveged installieren. Weitere Informationen zur Installation von Haveged für CentOS und Ubuntu finden Sie unter So richten Sie zusätzliche Entropie für Cloud-Server mit Haveged ein .

    Prozedur

    1. Wenn der MID-Server ausgeführt wird, halten Sie den MID-Server an.
      Hinweis:

      Wenn der Eintrag für den Alias StandardsicherheitsschlüsselPairHandle Wird geändert. Sie müssen den MID-Server für ungültig erklären, bevor Sie ihn stoppen.

    2. Erstellen Sie ein PEM-Paketzertifikat und ein Schlüsselpaar, indem Sie einen der folgenden Befehle im Installationsordner des MID-Servers ausführen.
      • Generieren Sie selbstsignierte Zertifikate für nicht-MTLS-Anwendungsfälle mit dem folgenden Befehl: 
        openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
      • Exportieren Sie den Schlüsselspeicher mit dem folgenden Befehl in ein PEM-Paket:
        openssl pkcs12 -in <myCustomCert>.p12 -nodes -out <myCustomCert>.pem
      • Ruft nur Zertifikate im PEM-Format mit dem folgenden Befehl ab: 
        openssl pkcs12 -in <myCustomCert>.p12 -out <myCustomCert>.pem -clcerts -nokeys
      • Ruft nur Schlüssel im PKCS#8-Format mit dem folgenden Befehl ab:
        openssl pkcs12 -in <myCustomKey>.p12 -out <myPrivateKey>.key -nocerts -nodes
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Windows-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.bat -a <alias> <file path to PEM bundle>
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Linux-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.sh -a <alias> <file path to PEM bundle>
      Hinweis:

      Header und Fußzeile der PEM-Syntax müssen wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Header und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----
    3. Starten Sie den MID-Server.
    4. Validieren Sie den MID-Server mit der Instanz.
    5. Wahlweise: Um den MID-Server auf die Verwendung eines selbst generierten Zertifikats zurückzusetzen, wählen Sie den MID-Server in der Instanz aus, und verwenden Sie die UI-Aktion Anwenderdefiniertes Zertifikat entfernen .
      Hinweis:
      Der MID-Server kann auch mit wiederhergestellt werden Ungültig Machen UI-Aktion. Wenn Sie einen MID-Server für ungültig erklären, werden alle installierten anwenderdefinierten Zertifikate entfernt und ein neues selbstsigniertes Zertifikat für den MID-Server erstellt.

    Nächste Maßnahme

    Die manage-certificatesHat die folgenden Funktionen, und die Skripts müssen im Agent-Ordner ausgeführt werden.
    Gegenseitige Authentifizierung aktivieren​

    Verwenden Sie für Windows den folgenden Befehl: Bin\Skripts\manage-certificates.bat -m

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m

    Entfernen Sie die gegenseitige Authentifizierung, und stellen Sie die Standardauthentifizierung wieder her

    Verwenden Sie für Windows den folgenden Befehl: Bin\scripts\manage-certificates.bat -b <myUserName myPassword>

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>

    Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

    Verwenden Sie für Windows den folgenden Befehl: Bin\scripts\manage-certificates.bat: Ein <alias> <fileName>

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh: Ein <alias> <fileName>

    Die Alias Ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID-Server erfordert ein anwenderdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen Standardmäßige Sicherheitsschlüssel-Handle . Um die MTLS-Kommunikation zwischen dem MID-Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mithilfe des Aliasnamens hinzugefügt werden Standardmäßige Sicherheitsschlüssel-Handle .

    Die Dateiname Ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Paket kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Header- und Fußzeile jedes PEM-Zertifikats müssen wie folgt lauten:

     -----BEGIN CERTIFICATE----- 
     -----END CERTIFICATE-----

    Header und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

     -----BEGIN PRIVATE KEY----- 
     -----END PRIVATE KEY-----

    Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen sie bestellt werden: Blattzertifikat, Zwischenzertifikate und dann Stammzertifikate.

    Zertifikatdetails für den angegebenen Alias anzeigen

    Verwenden Sie für Windows den folgenden Befehl: Bin\scripts\manage-certificates.bat – g <alias> ​

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

    Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum des Zertifikats an.

    Listet alle vorhandenen Aliasse auf

    Verwenden Sie für Windows den folgenden Befehl: Bin\scripts\manage-certificates.bat -l

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l

    Dieser Befehl listet alle Aliasnamen auf, die in verfügbar sind agent_keystore.

    Zertifikate mit einem Alias löschen​

    Verwenden Sie für Windows den folgenden Befehl: Bin\scripts\manage-certificates.bat -d <alias>

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>

    Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für den Alias DefaultSecurityKeyPairHandleKann mit diesem Befehl gelöscht werden.

    Entfernen Sie alle Einträge aus dem Schlüsselspeicher

    Verwenden Sie für Windows den folgenden Befehl: Bin\Skripts\manage-certificates.bat -r ​

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

    Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    Stellen Sie den MID-Server-Schlüsselspeicher mit einer Sicherung wieder her

    Wenn der Schlüsselspeicher beschädigt wird oder versehentlich gelöscht wird, können Sie eine Sicherung des MID-Server-Schlüsselspeichers wiederherstellen. Dies ist besonders nützlich für Schlüsselspeicher mit anwenderdefinierten Schlüsselpaaren, da andernfalls die Neuerstellung von anwenderdefinierten Schlüsselpaardaten schwierig und zeitaufwändig sein kann.

    Vorbereitungen

    Erforderliche Rolle: Agent-Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Ab dem Release Tokio erstellt der MID-Server automatisch eine Sicherung von Agent_Keystore Datei, wenn sie geändert wird. Sicherungen werden in gespeichert Security_Backup Unter dem Agent-Ordner. Sie werden außerhalb des Sicherheitsordners gespeichert, um vor versehentlichem Löschen oder Beschädigungen des Sicherheitsordners zu schützen.

    Im Sicherungsordner befindet sich eine dedizierte Sicherungsprotokolldatei: keystore_backup_audit_trail.log . Dieses Protokoll verfolgt Sicherungsdateien und Sicherungsaktivitäten. Jeder Sicherungsprotokolleintrag hat den Namen der Sicherungsdatei mit einem Zeitstempel, einer Übereinstimmung Keypairs.Mid_ID , Und eine Liste von Aliassen von Schlüsselpaaren in der Sicherung.

    Hinweis:
    Aus Sicherheitsgründen sollte der Sicherungsschlüsselspeicher dieselben Attribute wie der ursprüngliche Schlüsselspeicher haben, z. B. Besitzer, Gruppe und Berechtigungen. Diese Attribute stellen sicher, dass der MID-Server auf Dateisystemebene denselben Schutz hat.

    Die Schlüsselspeicher-Sicherungen können mit den MID-Servereigenschaften geändert werden Mid.Keystore.max_Backups , Mid.Keystore.max_live_Backups , Und Mid.Keystore.Backup_overwrite_timespan . Weitere Informationen finden Sie unter MID-Servereigenschaften.

    Prozedur

    1. MID-Server stoppen.
    2. Navigieren Sie zu Security_Backup Und zeigen Sie an keystore_backup_audit_trail.log Um auszuwählen, welche Sicherung wiederhergestellt werden soll.
    3. Kopieren Sie diese Sicherung in Agent_Keystore Datei im Sicherheitsordner.
      Überprüfen Sie die Dateiberechtigungen, um sicherzustellen, dass sie denselben Besitzer und dieselben Berechtigungen wie die ursprüngliche hat. Wenn Agent_Keystore Ist an diesem Standort bereits vorhanden. Überschreiben Sie es mit der Sicherung.
    4. Überprüfen config.xml Um sicherzustellen, dass Keypairs.Mid_ID Stimmt mit der in der Audit-Protokolldatei überein.
    5. Wahlweise: Wenn Keypairs.Mid_ID Nicht übereinstimmen, aktualisieren config.xml Um sie abzugleichen.
    6. Navigieren Sie zur Instanz, und erklären Sie den MID-Server für ungültig.
      Dadurch wird erstellt Löschen Sie_Mid_Keypair Systembefehl in ecc_Queue .
    7. Alle suchen Löschen Sie_Mid_Keypair Geben Sie Nachrichten für den MID-Server aus, und markieren Sie sie als verarbeitet.
      Das Ziel besteht darin, den MID-Server als ungültig zu markieren, ohne die Löschung des Schlüsselpaars auszulösen. Sofern die Systembefehle nicht als verarbeitet markiert sind, löscht der MID-Server Standardmäßige Sicherheitsschlüssel-Handle Schlüsselpaar, unabhängig davon, ob es anwenderdefiniert oder automatisch generiert wurde.
    8. Starten Sie DEN MID-Server neu.
    9. Navigieren Sie zur Instanz, und validieren Sie den MID-Server.