Fügen Sie SSL-Zertifikate für den MID-Server hinzu

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Konfigurieren Sie den MID-Server, um eine Verbindung mit einer Quelle über SSL herzustellen.

    Vorbereitungen

    Erforderliche Rolle: Administrator
    Richten Sie den Indikator für die Sicherheitsphase einStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-ServersicherheitStellen Sie sicher, dass der MID-Server eine Verbindung zu Elementen innerhalb und außerhalb Ihres Netzwerks herstellen kannLaden Sie den MID-Server herunter, und installieren Sie ihn auf einem Linux- oder Windows-HostKonfigurieren Sie Ihren MID-ServerKonfigurieren Sie die MID-Serversicherheit

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können dem MID-Server Zertifikate hinzufügen, um über SSL/TLS zu kommunizieren: Überprüfen Sie beide Methoden, um zu bewerten, welche Ihren Anforderungen am besten entsprechen.
    Während des MID-Upgrades wird der gebündelte TrustStore überschrieben. Der MID-Server versucht, Zertifikate vom vorhandenen TrustStore zum eingehenden zu migrieren. Um migriert zu werden, müssen Zertifikate die folgenden Kriterien erfüllen:
    Quebec (zurückportiert auf Orlando Patch 10 und Paris Patch 4)
    • X.509 v3-Zertifikate
    • Die Erweiterung für grundlegende Einschränkungen ergibt „falsch“ (oder ist nicht vorhanden).
    Rom (zurückportiert auf Paris Patch 7 und Quebec Patch 2)
    • X.509-Zertifikate
    • Jedes Zertifikat, das in der Quelle vorhanden ist, aber nicht im Ziel-TrustStore

    Zertifikate, die die Kriterien nicht erfüllen, werden überschrieben. Alternativ können Sie eine externe TrustStore-Datei angeben, die von MID-Server-Upgrades nicht betroffen ist. Weitere Informationen finden Sie unter Geben Sie einen externen TrustStore für den MID-Server an

    In Rom und späteren Familien kann die während des Upgrades verwendete Migrationsstrategie über den Konfigurationsparameter des MID-Servers konfiguriert werden mid.truststore.migration.strategy. Es kann die folgenden Werte annehmen:
    • Migrieren_delta : Die Standardstrategie (oben für Rom beschrieben)
    • Migrieren_non_CA : Eine Strategie, die der oben beschriebenen für die Quebec-Familie entspricht
    • Nicht_migrieren : Deaktiviert die TrustStore-Migration während des Upgrades, obwohl im Falle eines Überschreibens eine Sicherung des ursprünglichen TrustStore vorgenommen wird

    Während dieses Migrationsprozesses wird eine Sicherung der Original- und Upgrade-Truststores erstellt und im Arbeitsverzeichnis des Service Desk-Mitarbeiters gespeichert: …\Agent\Arbeit\Truststore_Migration\ <time epoch seconds>\ . Der ursprüngliche TrustStore wird in umbenannt Cacerts_before Und der TrustStore-Upgrade wird in umbenannt Cacerts_from_Upgrade .

    Prozedur

    1. Öffnen Sie eine Eingabeaufforderung, und navigieren Sie zu dem Ordner, der die JRE enthält Schlüsseltool .
      Dies ist der Speicherort der von Ihnen installierten JRE. Ein Beispielpfad kann sein: C:\Programme\Java\jre1.8.0_161\bin
    2. Importieren Sie ein Zertifikat mit diesem Befehl in den cacerts-Schlüsselspeicher des MID-Servers:
      Keytool -Import -alias <certificate alias> -file „<Pfad zum Zertifikat>“ -Schlüsselspeicher „< Pfad zur JRE >\lib\Security\cacerts“

      Sie können beispielsweise Folgendes eingeben: Keytool -Import -alias MyCA -file „C:\myca.cer“ -Schlüsselspeicher „C:\Programme\Java\jre1.8.0_161\lib\Security\cacerts“

      Hinweis:
      Das Keytool fordert Sie zur Eingabe eines Zertifikatpassworts auf. Wenn das Zertifikat für eine ZERTIFIZIERUNGSSTELLE gilt, fragt das Keytool auch, ob der Zertifizierungsstelle vertraut werden soll. Informationen zum Hinzufügen eines Zertifikats zu einer Instanz finden Sie unter Laden Sie ein Zertifikat in eine Instanz hoch .
    3. Wahlweise: Zeigen Sie eine Liste der aktuellen Zertifikate an, indem Sie den folgenden Befehl ausführen: keytool.exe -list -Schlüsselspeicher „C:\MID Server\Agent\Jre\lib\Security\cacerts“

    Geben Sie einen externen TrustStore für den MID-Server an

    Die MID-Server-JVM kann einen TrustStore außerhalb des MID-Installationsverzeichnisses verwenden, damit alle dem TrustStore hinzugefügten Zertifikate während eines Upgrades nicht überschrieben werden. Es ist wichtig, dass sich diese TrustStore-Datei außerhalb des MID-Installationsverzeichnisses befindet und der Truststore-Speicherort durch Hinzufügen zusätzlicher Parameter zu den MID-Servern angegeben werden kann Wrapper-override.conf Datei.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Prozedur

    1. Navigieren Sie auf dem MID-Server-Host zu Wrapper-override.conf Datei.
    2. Geben Sie einen externen TrustStore an, indem Sie einen anwenderdefinierten Parameter an das Ende Ihrer MID anhängen Wrapper-override.conf Datei.
      Beispiel: Auf einem Windows-MID mit einem externen TrustStore, der unter gefunden wurde C:\external_Truststore\cacerts , Das Ende der Datei würde ähnlich aussehen wie:
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Hinweis:
      Wenn Sie andere zusätzliche Parameter in dieser Datei angegeben haben, kann sich der numerische Bezeichner, in diesem Fall 3 und 4, unterscheiden.