Adicionar certificados SSL para o MID Server

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Configure o MID Server para se conectar a uma origem por SSL.

    Antes de Iniciar

    Função necessária: administrador
    Configurar indicador para fase de segurançaGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID ServerGarantir que o MID Server pode se conectar a elementos dentro e fora da redeBaixar e instalar o MID Server em um host Linux ou WindowsConfigurar o seu MID ServerConfigurar a segurança do MID Server

    Por Que e Quando Desempenhar Esta Tarefa

    Você pode adicionar certificados ao MID Server para se comunicar por SSL/TLS de duas maneiras:
    • Adicione certificados diretamente ao arquivo JRE TrustStore, usando o procedimento a seguir.
    • Especifique um arquivo TrustStore diferente para o MID Server usar. Para obter mais informações, consulte Especificar um TrustStore externo para o MID Server.
    Analise ambos os métodos para avaliar qual atende melhor às suas necessidades.
    Durante o upgrade do MID, o TrustStore incorporado é substituído. O MID Server tenta migrar certificados do TrustStore existente para o de entrada. Para serem migrados, os certificados devem atender aos seguintes critérios:
    Quebec (portado para Orlando Patch 10 e Paris Patch 4)
    • Certificados X.509 v3
    • A extensão de restrições básicas é avaliada como falsa (ou não está presente)
    Rome (portado para Paris Patch 7 e Quebec Patch 2)
    • Certificados X.509
    • Qualquer certificado presente na origem, mas não no TrustStore de destino

    Os certificados que não atendem aos critérios são substituídos. Como alternativa, você pode especificar um arquivo TrustStore externo que não seja afetado pelos upgrades do MID Server. Para obter mais informações, consulte Especificar um TrustStore externo para o MID Server

    Em Rome e famílias posteriores, a estratégia de migração utilizada durante o upgrade é configurável por meio do parâmetro de configuração do MID Server mid.truststore.migration.strategy. Pode assumir os seguintes valores:
    • migrate_delta: a estratégia padrão (descrita acima para Roma)
    • migrate_non_ca: uma estratégia correspondente à descrita acima para a família Quebec
    • do_not_migrate: desabilita a migração do TrustStore durante o upgrade, embora um backup do TrustStore original seja feito em caso de substituição

    Durante este processo de migração, um backup dos TrustStores originais e de upgrade são feitos e armazenados no diretório de trabalho do agente: …\agent\work\truststore_migration\<time epoch seconds>\. O TrustStore original é renomeado para cacerts_before e o TrustStore de atualização é renomeado para cacerts_from_upgrade.

    Procedimento

    1. Abra um prompt de comando e navegue até a pasta que contém a keytool do JRE.
      Este é o local do JRE que você instalou. Um exemplo de caminho pode ser: C:\Program Files\Java\jre1.8.0_161\bin
    2. Importe um certificado para o armazenamento de chaves cacerts do MID Server, usando este comando:
      keytool -importar -alias <certificate alias> -file "<caminho para certificado>" -keystore "<caminho para JRE>\lib\security\cacerts"

      Por exemplo, você pode inserir: keytool -importar -alias MyCA -file "C:\myca.cer" -keystore "C:\Program Files\Java\jre1.8.0_161\lib\security\cacerts"

      Nota:
      A keytool solicita uma senha de certificado. Se o certificado for para uma CA, a keytool também perguntará se a autoridade de certificação deve ser confiável. Para adicionar um certificado a uma instância, consulte Upload de um certificado em uma instância.
    3. Opcional: Exiba uma lista dos certificados atuais executando o comando: keytool.exe -list -keystore "C:\Mid Server\agent\jre\lib\security\cacerts"

    Especificar um TrustStore externo para o MID Server

    A JVM do MID Server pode utilizar um TrustStore externo ao diretório de instalação do MID para que os certificados adicionados ao TrustStore não sejam substituídos durante um upgrade. É importante que este arquivo TrustStore resida fora do diretório de instalação do MID e o local do armazenamento confiável possa ser especificado adicionando parâmetros adicionais ao arquivo wrapper-override.conf do MID Server.

    Antes de Iniciar

    Função necessária: administrador

    Procedimento

    1. No host do MID Server, navegue até o arquivo wrapper-override.conf.
    2. Especifique um TrustStore externo anexando um parâmetro personalizado ao final do arquivo wrapper-override.conf do MID.
      Por exemplo, em um MID do Windows com um TrustStore externo encontrado em C:\ external_truststore\cacerts, o final do arquivo seria semelhante a:
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Nota:
      Se você especificou outros parâmetros adicionais neste arquivo, o identificador numérico, neste caso 3 e 4, pode ser diferente.