SSL-Zertifikate für den MID Server hinzufügen

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Konfigurieren Sie den MID-Server für die Verbindung mit einer Quelle über SSL.

    Vorbereitungen

    Erforderliche Rolle: admin
    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Warum und wann dieser Vorgang ausgeführt wird

    Es gibt zwei Möglichkeiten, dem MID-Server Zertifikate für die Kommunikation über SSL/TLS hinzuzufügen:
    • Fügen Sie Zertifikate direkt der gebündelten JRE-TrustStore-Datei hinzu, indem Sie das folgende Verfahren verwenden.
    • Geben Sie eine andere TrustStore-Datei an, die der MID-Server verwenden soll. Weitere Informationen finden Sie unter Geben Sie einen externen TrustStore für den MID-Server an.
    Überprüfen Sie beide Methoden, um zu bewerten, welche Ihren Anforderungen am besten entspricht.
    Während des MID-Upgrades wird der gebündelte TrustStore überschrieben. Der MID Server versucht, Zertifikate aus dem vorhandenen TrustStore zum eingehenden zu migrieren. Für die Migration müssen Zertifikate die folgenden Kriterien erfüllen:
    Quebec (zurückportiert nach Orlando Patch 10 und Paris Patch 4)
    • X.509 v3-Zertifikate
    • Erweiterung „Basiseinschränkungen“ wird als „falsch“ ausgewertet (oder ist nicht vorhanden)
    Rome (zurückportiert zu Paris Patch 7 und Quebec Patch 2)
    • X.509-Zertifikate
    • Jedes in der Quell-, aber nicht im Ziel-TrustStore vorhandene Zertifikat

    Zertifikate, die die Kriterien nicht erfüllen, werden überschrieben. Alternativ können Sie eine externe TrustStore-Datei angeben, die von MID-Server-Upgrades nicht betroffen ist. Weitere Informationen finden Sie unter Geben Sie einen externen TrustStore für den MID-Server an

    In Rome und später kann die während des Upgrades verwendete Migrationsstrategie über den MID-Server-Konfigurationsparameter mid.truststore.migration.strategykonfiguriert werden. Kann die folgenden Werte annehmen:
    • migrate_delta: die Standardstrategie (oben für Rome beschrieben)
    • migrate_non_ca: Eine Strategie, die der oben für die Quebec-Familie beschriebenen Strategie entspricht
    • do_not_migrate: deaktiviert die TrustStore-Migration während des Upgrades, obwohl im Falle eines Überschreibens eine Sicherung des ursprünglichen TrustStore erstellt wird

    Während dieses Migrationsprozesses wird eine Sicherung der ursprünglichen und des Upgrade-TrustStores erstellt und im Arbeitsverzeichnis des Service Desk-Mitarbeiters gespeichert: …\agent\work\truststore_migration\<time epoch seconds>\. Der ursprüngliche TrustStore wird in cacerts_before und der Upgrade-TrustStore in cacerts_from_upgradeumbenannt.

    Prozedur

    1. Öffnen Sie eine Eingabeaufforderung und navigieren Sie zu dem Ordner, der das JRE Keytool enthält.
      Dies ist der Speicherort der von Ihnen installierten JRE. Beispiel für einen möglichen Pfad: C:\Program Files\Java\jre1.8.0_161\bin
    2. Importieren Sie mit dem folgenden Befehl ein Zertifikat in den cacerts-Schlüsselspeicher des MID Servers:
      keytool -import -alias <Zertifikat-Alias> -file "<Pfad zum Zertifikat>" -keystore "<Pfad zur JRE>\lib\security\cacerts"

      Zum Beispiel könnten Sie Folgendes eingeben: keytool -import -alias MyCA -file "C:\myca.cer" -keystore "C:\Program Files\Java\jre1.8.0_161\lib\security\cacerts"

      Hinweis:
      Das Keytool fordert Sie zur Eingabe eines Zertifikatpassworts auf. Wenn das Zertifikat für eine Zertifizierungsstelle gilt, werden Sie vom Keytool auch gefragt, ob Sie der Zertifizierungsstelle vertrauen möchten. Informationen zum Hinzufügen eines Zertifikats zu einer Instanz finden Sie unter Zertifikat zu einer Instanz hochladen.
    3. Wahlweise: Zeigen Sie eine Liste der aktuellen Zertifikate an, indem Sie den folgenden Befehl ausführen: keytool.exe -list -keystore "C:\Mid Server\agent\jre\lib\security\cacerts"

    Geben Sie einen externen TrustStore für den MID-Server an

    Die MID-Server-JVM kann einen TrustStore außerhalb des MID-Installationsverzeichnisses verwenden, sodass dem TrustStore hinzugefügte Zertifikate während eines Upgrades nicht überschrieben werden. Es ist wichtig, dass sich diese TrustStore-Datei außerhalb des MID-Installationsverzeichnisses befindet. Der Truststore-Speicherort kann durch Hinzufügen zusätzlicher Parameter zur Wrapper-override.conf- Datei des MID-Servers angegeben werden.

    Vorbereitungen

    Erforderliche Rolle: admin

    Prozedur

    1. Navigieren Sie auf dem MID-Server-Host zur Datei Wrapper-Override.conf.
    2. Geben Sie einen externen TrustStore an, indem Sie an das Ende der Datei Wrapper-override.conf Ihres MID einen anwenderdefinierten Parameter anhängen.
      Auf einem Windows-MID mit einem externen TrustStore unter C:\external_truststore\cacertswürde das Ende der Datei beispielsweise wie folgt aussehen:
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Hinweis:
      Wenn Sie in dieser Datei andere zusätzliche Parameter angegeben haben, kann der numerische Bezeichner, in diesem Fall 3 und 4, abweichen.