Einheitlicher Schlüsselspeicher FÜR MID-Server

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 7 Minuten Lesedauer

    • Der einheitliche Schlüsselspeicher DES MID-Servers ermöglicht allen Produkten auf dem MID-Server die Verwendung allgemeiner Zertifikate und Schlüsselpaare. Mit dieser Funktion können Anwendungen denselben sicheren Kommunikationskanal für den MID-Server verwenden, den der MID-Server für die Verbindung mit der Instanz verwendet.

    Einrichtungsindikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Beim Starten des MID-Servers wird der allgemeine Name (CN) des Zertifikats überprüft, um festzustellen, ob ein anwenderdefiniertes Zertifikat installiert wurde. Wenn ein anwenderdefiniertes Zertifikat erkannt wird, wird die Erstellung des Zertifikats/Schlüsselpaars übersprungen, und im Datensatz „ecc_Agent“ wird ein Attribut festgelegt, das die Verwendung eines anwenderdefinierten Zertifikats angibt.

    Wenn ein anwenderdefiniertes Zertifikat verwendet wird Schlüssel erneut eingeben UI-Aktion ist in der Instanz für den MID-Server deaktiviert. Eine neue UI-Aktion wurde aufgerufen Entfernen Sie das anwenderdefinierte Schlüsselpaar Ist verfügbar, um mit einem selbst signierten Zertifikat zu wechseln. Durch die Verwendung dieser Aktion entfernt der MID-Server das anwenderdefinierte Zertifikat und generiert ein neues selbstsigniertes Zertifikat, ähnlich der Option „erneut Schlüssel“.

    Wenn ein MID aktualisiert wird, werden alle installierten anwenderdefinierten Zertifikate beibehalten.

    PEM-Paketunterstützung

    Der einheitliche Schlüsselspeicher DES MID-Servers unterstützt PEM-Paketzertifikate und Schlüsselpaare.

    Beispiel für ein PEM-Paket

    -----BEGIN PRIVATE KEY----- 

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9 

... 

oPdU+h0grs9SJp6rFx0PzDY= 

-----END PRIVATE KEY----- 

Bag Attributes 

    friendlyName: <myCustomCert>

    localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31  

subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

-----BEGIN CERTIFICATE----- 

MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV 

... 

4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs= 

-----END CERTIFICATE-----

    Installieren Sie anwenderdefinierte Zertifikate im zentralen Schlüsselspeicher DES MID-Servers

    Installieren Sie anwenderdefinierte Zertifikate, um die Sicherheitskanäle für verschiedene Anwendungen zu vereinheitlichen.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Beim Installieren des Zertifikats auf einem MID-Server, der in Linux gehostet wird, install-certificate.sh Kann nicht reagieren, wenn die Anzahl des Linux-Entropiepools weniger als einige hundert beträgt. Überprüfen Sie die Entropieanzahl des Linux-Pseudo-Zufallszahlgenerators (PRNG) mit dem folgenden Befehl: 
    cat /proc/sys/kernel/random/entropy_avail
    Wenn die Entropieanzahl zu niedrig ist, können Sie einen Entropiegenerator wie RNGD oder Haveged installieren. Weitere Informationen zur Installation von Haveged für CentOS und Ubuntu finden Sie unter So richten Sie zusätzliche Entropie für Cloud-Server mit Haveged ein .

    Prozedur

    1. Wenn der MID-Server ausgeführt wird, halten Sie den MID-Server an.
      Hinweis:

      Wenn der Eintrag für den Alias DefaultSecurityKeyPairHandle Wird geändert. Sie müssen den MID-Server für ungültig erklären, bevor Sie ihn stoppen.

    2. Erstellen Sie ein PEM-Paketzertifikat und ein Schlüsselpaar, indem Sie einen der folgenden Befehle im Installationsordner des MID-Servers ausführen.
      • Generieren Sie selbstsignierte Zertifikate für nicht-MTLS-Anwendungsfälle mit dem folgenden Befehl: 
        openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
      • Exportieren Sie den Schlüsselspeicher mit dem folgenden Befehl in ein PEM-Paket:
        openssl pkcs12 -in <myCustomCert>.p12 -nodes -out <myCustomCert>.pem
      • Ruft nur Zertifikate im PEM-Format mit dem folgenden Befehl ab: 
        openssl pkcs12 -in <myCustomCert>.p12 -out <myCustomCert>.pem -clcerts -nokeys
      • Ruft nur Schlüssel im PKCS#8-Format mit dem folgenden Befehl ab:
        openssl pkcs12 -in <myCustomKey>.p12 -out <myPrivateKey>.key -nocerts -nodes
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Windows-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.bat -a <alias> <file path to PEM bundle>
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Linux-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.sh -a <alias> <file path to PEM bundle>
      Hinweis:

      Header und Fußzeile der PEM-Syntax müssen wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----
    3. Starten Sie den MID-Server.
    4. Validieren Sie den MID-Server mit der Instanz.
    5. Wahlweise: Um den MID-Server auf die Verwendung eines selbst generierten Zertifikats zurückzusetzen, wählen Sie den MID-Server in der Instanz aus, und verwenden Sie die UI-Aktion Anwenderdefiniertes Zertifikat entfernen .
      Hinweis:
      Der MID-Server kann auch mit wiederhergestellt werden Ungültig Machen UI-Aktion. Durch das Invalidieren eines MID-Servers werden alle installierten anwenderdefinierten Zertifikate entfernt und ein neues selbstsigniertes Zertifikat für den MID-Server erstellt.

    Nächste Maßnahme

    Die manage-certificatesHat die folgenden Funktionen, und die Skripts müssen im Agent-Ordner ausgeführt werden.
    Gegenseitige Authentifizierung aktivieren​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -m.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m.

    Gegenseitige Authentifizierung entfernen und Standardauthentifizierung wiederherstellen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -b <myUserName myPassword>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>.

    Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -a <alias> <fileName>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>.

    Die Alias Ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID Server erfordert ein benutzerdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen defaultsecuritykeypairhandle. Um die MTLS-Kommunikation zwischen dem MID Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mit dem Aliasnamen defaultsecuritykeypairhandle hinzugefügt werden.

    Die Dateiname Ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Bundle kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Kopf- und Fußzeile jedes PEM-Zertifikats muss wie folgt lauten:

     -----BEGIN CERTIFICATE----- 
     -----END CERTIFICATE-----

    Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

     -----BEGIN PRIVATE KEY----- 
     -----END PRIVATE KEY-----

    Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen diese entsprechend geordnet sein: untergeordnetes Zertifikat, Zwischenzertifikate, dann Stammzertifikate.

    Zertifikatdetails für den angegebenen Alias anzeigen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -g <alias>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

    Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum aus dem Zertifikat an.

    Alle vorhandenen Aliasse auflisten

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -l.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l.

    Dieser Befehl listet alle Aliasnamen auf, die in agent_keystore verfügbar sind.

    Zertifikate mit einem Alias löschen​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -d <alias>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>.

    Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für Alias DefaultSecurityKeyPairHandle kann mit diesem Befehl gelöscht werden.

    Alle Einträge aus dem Schlüsselspeicher entfernen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -r ​

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

    Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    Stellen Sie den MID-Server-Schlüsselspeicher mit einer Sicherung wieder her

    Wenn der Schlüsselspeicher beschädigt wird oder versehentlich gelöscht wird, können Sie eine Sicherung des MID-Server-Schlüsselspeichers wiederherstellen. Dies ist besonders nützlich für Schlüsselspeicher mit anwenderdefinierten Schlüsselpaaren, da andernfalls die Neuerstellung anwenderdefinierter Schlüsselpaardaten schwierig und zeitaufwändig sein kann.

    Vorbereitungen

    Erforderliche Rolle: Agent-Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Ab dem Release Tokyo erstellt der MID-Server automatisch eine Sicherung von Agent_Keystore Datei, wenn sie geändert wird. Sicherungen werden in gespeichert Security_Backup Unter dem Agent-Ordner. Sie werden außerhalb des Sicherheitsordners gespeichert, um vor versehentlichem Löschen oder Beschädigungen des Sicherheitsordners zu schützen.

    Im Sicherungsordner befindet sich eine dedizierte Sicherungsprotokolldatei: keystore_backup_audit_trail.log . Dieses Protokoll verfolgt Sicherungsdateien und Sicherungsaktivitäten. Jeder Sicherungsprotokolleintrag hat den Namen der Sicherungsdatei mit einem Zeitstempel, einer Übereinstimmung Keypairs.Mid_ID , Und eine Liste der Aliasse von Schlüsselpaaren in der Sicherung.

    Hinweis:
    Aus Sicherheitsgründen sollte der Sicherungsschlüsselspeicher dieselben Attribute wie der ursprüngliche Schlüsselspeicher haben, z. B. Besitzer, Gruppe und Berechtigungen. Diese Attribute stellen sicher, dass der MID-Server auf Dateisystemebene denselben Schutz hat.

    Die Schlüsselspeicher-Sicherungen können mit den MID-Server-Eigenschaften geändert werden Mid.Keystore.max_Backups , Mid.Keystore.max_live_Backups , Und Mid.Keystore.Backup_overwrite_timespan . Weitere Informationen finden Sie unter MID Server-Eigenschaften.

    Prozedur

    1. MID-Server stoppen.
    2. Navigieren Sie zu Security_Backup Und zeigen Sie an keystore_backup_audit_trail.log Um auszuwählen, welche Sicherung wiederhergestellt werden soll.
    3. Kopieren Sie diese Sicherung in Agent_Keystore Datei im Sicherheitsordner.
      Überprüfen Sie die Dateiberechtigungen, um sicherzustellen, dass sie denselben Besitzer und dieselben Berechtigungen wie die ursprüngliche hat. Wenn Agent_Keystore Ist an diesem Standort bereits vorhanden. Überschreiben Sie es mit der Sicherung.
    4. Überprüfen config.xml Um sicherzustellen, dass Keypairs.Mid_ID Stimmt mit der in der Audit-Protokolldatei überein.
    5. Wahlweise: Wenn Keypairs.Mid_ID Nicht übereinstimmen, aktualisieren config.xml Um sie abzugleichen.
    6. Navigieren Sie zur Instanz, und erklären Sie den MID-Server für ungültig.
      Dadurch wird ein erstellt Delete_Mid_Keypair Systembefehl in ecc_Queue .
    7. Alle suchen Delete_Mid_Keypair Geben Sie Nachrichten für den MID-Server aus, und markieren Sie sie als verarbeitet.
      Das Ziel besteht darin, den MID-Server als ungültig zu markieren, ohne die Löschung des Schlüsselpaars auszulösen. Sofern die Systembefehle nicht als verarbeitet markiert sind, löscht der MID-Server Standardmäßige Sicherheitsschlüssel-Handle Schlüsselpaar, unabhängig davon, ob es sich um einen anwenderdefinierten oder automatisch generierten Schlüssel handelt.
    8. Starten Sie den MID-Server neu.
    9. Navigieren Sie zur Instanz, und validieren Sie den MID-Server.