SSL-Zertifikate für den MID Server hinzufügen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie den MID-Server für die Verbindung mit einer Quelle über SSL.

    Vorbereitungen

    Erforderliche Rolle: admin
    Setup-Indikator für SicherheitsphaseSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Warum und wann dieser Vorgang ausgeführt wird

    Sie können dem MID Server auf zwei Arten Zertifikate hinzufügen, um über SSL/TLS zu kommunizieren: Überprüfen Sie beide Methoden, um zu ermitteln, welche Ihren Anforderungen am besten entspricht.
    Während des MID-Upgrades wird der gebündelte TrustStore überschrieben. Der MID Server versucht, Zertifikate vom vorhandenen TrustStore zum eingehenden zu migrieren. Für die Migration müssen Zertifikate die folgenden Kriterien erfüllen:
    Quebec (zurückportiert nach Orlando Patch 10 und Paris Patch 4)
    • X.509 v3-Zertifikate
    • Erweiterung für Basiseinschränkungen wird als „falsch“ ausgewertet (oder ist nicht vorhanden).
    Rome (zurückportiert nach Paris Patch 7 und Quebec Patch 2)
    • X.509-Zertifikate
    • Jedes Zertifikat, das in der Quelle vorhanden ist, aber nicht im Ziel-TrustStore

    Zertifikate, die die Kriterien nicht erfüllen, werden überschrieben. Alternativ können Sie eine externe TrustStore-Datei angeben, die von MID Server-Upgrades nicht betroffen ist. Weitere Informationen finden Sie unter Geben Sie einen externen TrustStore für den MID Server an

    In Rome und späteren Familien ist die während des Upgrades verwendete Migrationsstrategie über den MID Server-Konfigurationsparameter mid.truststore.migration.strategykonfigurierbar. Er kann die folgenden Werte annehmen:
    • migrate_delta: die Standardstrategie (oben für Rome beschrieben)
    • migrate_non_ca: Eine Strategie, die der oben für die Quebec-Familie beschriebenen entspricht
    • do_not_migrate: Deaktiviert die TrustStore-Migration während des Upgrades, obwohl im Falle einer Überschreibung eine Sicherung des ursprünglichen TrustStore erstellt wird

    Während dieses Migrationsprozesses wird eine Sicherung der ursprünglichen und Upgrade-TrustStores erstellt und im Arbeitsverzeichnis des Agent gespeichert: …\agent\work\truststore_migration\<time epoch seconds>\. Der ursprüngliche TrustStore wurde in cacerts_before umbenannt, und der Upgrade-TrustStore wurde in cacerts_from_upgradeumbenannt.

    Prozedur

    1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Ordner, der das JRE Keytool enthält.
      Dies ist der Speicherort der von Ihnen installierten JRE. Beispiel für einen möglichen Pfad: C:\Program Files\Java\jre1.8.0_161\bin
    2. Importieren Sie mit dem folgenden Befehl ein Zertifikat in den cacerts-Schlüsselspeicher des MID Servers:
      keytool -import -alias <Zertifikat-Alias> -file "<Pfad zum Zertifikat>" -keystore "<Pfad zur JRE>\lib\security\cacerts"

      Zum Beispiel könnten Sie Folgendes eingeben: keytool -import -alias MyCA -file "C:\myca.cer" -keystore "C:\Program Files\Java\jre1.8.0_161\lib\security\cacerts"

      Hinweis:
      Das Keytool fordert Sie zur Eingabe eines Zertifikatpassworts auf. Wenn das Zertifikat für eine Zertifizierungsstelle gilt, werden Sie vom Keytool auch gefragt, ob Sie der Zertifizierungsstelle vertrauen möchten. Informationen zum Hinzufügen eines Zertifikats zu einer Instanz finden Sie unter Zertifikate in eine Instanz hochladen.
    3. Wahlweise: Zeigen Sie eine Liste der aktuellen Zertifikate an, indem Sie den folgenden Befehl ausführen: keytool.exe -list -keystore "C:\Mid Server\agent\jre\lib\security\cacerts"

    Geben Sie einen externen TrustStore für den MID Server an

    Die MID Server-JVM kann einen TrustStore außerhalb des MID-Installationsverzeichnisses verwenden, sodass dem TrustStore hinzugefügte Zertifikate während eines Upgrades nicht überschrieben werden. Es ist wichtig, dass sich diese TrustStore-Datei außerhalb des MID-Installationsverzeichnisses befindet und der Truststore-Speicherort angegeben werden kann, indem zusätzliche Parameter zur Datei wrapper-override.conf des MID Servers hinzugefügt werden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren Sie auf dem MID Server-Host zur Datei wrapper-override.conf.
    2. Geben Sie einen externen TrustStore an, indem Sie einen benutzerdefinierten Parameter an das Ende der Datei wrapper-override.conf Ihres MID anhängen.
      Zum Beispiel würde auf einem Windows-MID mit einem externen TrustStore, der sich unter C:\external_truststore\cacerts befindet, das Ende der Datei ähnlich aussehen:
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Hinweis:
      Wenn Sie weitere zusätzliche Parameter in dieser Datei angegeben haben, kann der numerische Bezeichner, in diesem Fall 3 und 4, abweichen.