Einheitlicher Schlüsselspeicher des MID-Servers

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Mit dem einheitlichen Schlüsselspeicher des MID-Servers können alle Produkte auf dem MID-Server gemeinsame Zertifikate und Schlüsselpaare verwenden. Mit dieser Funktion können Anwendungen denselben sicheren Kommunikationskanal zum MID-Server verwenden, den der MID-Server für die Verbindung mit der Instanz verwendet.

    Richten Sie den Indikator für die Sicherheitsphase einSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurierenSicherstellen, dass vom MID Server eine Verbindung zu Elementen inner- und außerhalb Ihres Netzwerks hergestellt werden kannMID Server auf einem Linux- oder Windows-Host herunterladen und installierenMID Server konfigurierenSicherheit des MID Servers konfigurieren

    Beim Starten des MID-Servers wird der allgemeine Name (CN) des Zertifikats überprüft, um festzustellen, ob ein anwenderdefiniertes Zertifikat installiert wurde. Wenn ein anwenderdefiniertes Zertifikat erkannt wird, wird die Erstellung des Zertifikats/Schlüsselpaars übersprungen, und für den Datensatz „ecc_agent“ wird ein Attribut festgelegt, das die Verwendung eines anwenderdefinierten Zertifikats angibt.

    Wenn ein anwenderdefiniertes Zertifikat verwendet wird, wird die UI-Aktion „ Schlüssel erneut eingeben“ in der Instanz für den MID-Server deaktiviert. Mit der neuen UI-Aktion Anwenderdefiniertes Schlüsselpaar entfernen können Sie zurück zur Verwendung eines selbstsignierten Zertifikats wechseln. Diese Aktion führt dazu, dass der MID-Server das anwenderdefinierte Zertifikat entfernt und ein neues selbstsigniertes Zertifikat generiert, ähnlich wie bei der Option zur erneuten Schlüsselerstellung.

    Wenn ein MID aktualisiert wird, werden alle installierten anwenderdefinierten Zertifikate beibehalten.

    Unterstützung für PEM-Pakete

    Der einheitliche Schlüsselspeicher des MID-Servers unterstützt PEM-Paketzertifikate und -Schlüsselpaare.

    Beispiel für ein PEM-Paket

    -----BEGIN PRIVATE KEY----- 

MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQC0pj5O8QKFpHy9 

... 

oPdU+h0grs9SJp6rFx0PzDY= 

-----END PRIVATE KEY----- 

Bag Attributes 

    friendlyName: <myCustomCert>

    localKeyID: 54 69 6D 65 20 31 35 39 35 33 35 34 32 30 38 30 35 31  

subject=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

issuer=/C=US/ST=CA/L=Santa Clara/CN=epic1016883 

-----BEGIN CERTIFICATE----- 

MIIDKzCCAhOgAwIBAgIEPqMQqDANBgkqhkiG9w0BAQsFADBGMQswCQYDVQQGEwJV 

... 

4g53RN+LqtJVeeQkZvIbZOfuSqypdVfudkS8dqxQALb8IuHUV7JOcBvOT79mSTs= 

-----END CERTIFICATE-----

    Installieren Sie anwenderdefinierte Zertifikate im einheitlichen Schlüsselspeicher des MID-Servers

    Installieren Sie anwenderdefinierte Zertifikate, um die Sicherheitskanäle für verschiedene Anwendungen zu vereinheitlichen.

    Vorbereitungen

    Erforderliche Rolle: admin

    Bei der Installation des Zertifikats auf einem unter Linux gehosteten MID-Server reagiert „install-certificate.sh“ möglicherweise nicht, wenn die Anzahl der Linux-Entropiepools weniger als einige Hundert beträgt. Überprüfen Sie die Entropieanzahl des Linux-Pseudozufallszahlengenerators (PRNG) mit dem folgenden Befehl: 
    cat /proc/sys/kernel/random/entropy_avail
    Wenn die Entropieanzahl zu niedrig ist, können Sie einen Entropiegenerator wie RNGD oder Hatged installieren. Weitere Informationen zur Installation von Haben Sie für CentOS und Ubuntu finden Sie unter Setup Zusätzlicher Entropie für Cloud-Server mit Haben Sie eingerichtet.

    Prozedur

    1. Wenn der MID-Server ausgeführt wird, halten Sie ihn an.
      Hinweis:

      Wenn der Eintrag für den Alias „DefaultSecurityKeyPairHandle “ geändert wird, müssen Sie den MID-Server vor dem Anhalten für ungültig erklären.

    2. Erstellen Sie ein PEM-Paketzertifikat und -schlüsselpaar, indem Sie einen der folgenden Befehle im Installationsordner des MID-Servers ausführen.
      • Generieren Sie mit dem folgenden Befehl selbstsignierte Zertifikate für Nicht-MTLS-Anwendungsfälle: 
        openssl req -newkey rsa:2048 -nodes -keyout key.pem -x509 -days 365 -out certificate.pem
      • Exportieren Sie den Schlüsselspeicher mit dem folgenden Befehl in ein PEM-Paket:
        openssl pkcs12 -in <myCustomCert>.p12 -nodes -out <myCustomCert>.pem
      • Rufen Sie mit dem folgenden Befehl nur Zertifikate im PEM-Format ab: 
        openssl pkcs12 -in <myCustomCert>.p12 -out <myCustomCert>.pem -clcerts -nokeys
      • Rufen Sie mit dem folgenden Befehl nur Schlüssel im PKCS#8-Format ab:
        openssl pkcs12 -in <myCustomKey>.p12 -out <myPrivateKey>.key -nocerts -nodes
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Windows-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.bat -a <alias> <file path to PEM bundle>
      • Installieren Sie das Zertifikat oder die Zertifikatkette und den privaten Schlüssel für Linux-Hosts mit dem folgenden Befehl:
        bin/scripts/manage-certificates.sh -a <alias> <file path to PEM bundle>
      Hinweis:

      Header und Footer der PEM-Syntax müssen wie folgt lauten:

       -----BEGIN CERTIFICATE----- 
       -----END CERTIFICATE-----

      Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

       -----BEGIN PRIVATE KEY----- 
       -----END PRIVATE KEY-----
    3. Starten Sie den MID-Server.
    4. Validiert den MID-Server mit der -Instanz.
    5. Wahlweise: Um den MID-Server so zurückzusetzen, dass er ein selbst generiertes Zertifikat verwendet, wählen Sie den MID-Server in der Instanz aus, und führen Sie die UI-Aktion Anwenderdefiniertes Zertifikat entfernen aus.
      Hinweis:
      Der MID-Server kann auch mit der UI -Aktion „Ungültig machen“ rückgängig gemacht werden. Wenn Sie einen MID-Server für ungültig erklären, werden alle installierten anwenderdefinierten Zertifikate entfernt und ein neues selbstsigniertes Zertifikat für den MID-Server erstellt.

    Nächste Maßnahme

    manage-certificates hat die folgenden Funktionen, und die Skripts müssen im Agent-Ordner ausgeführt werden.
    Gegenseitige Authentifizierung aktivieren​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -m.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -m.

    Gegenseitige Authentifizierung entfernen und Standardauthentifizierung wiederherstellen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -b <myUserName myPassword>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -b <myUserName myPassword>.

    Neue Zertifikate und Zertifikatketten mit einem angegebenen Alias hinzufügen​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -a <alias> <fileName>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -a <alias> <fileName>.

    Der Alias ist ein eindeutiger Name für das zu importierende Zertifikat. Der MID Server erfordert ein benutzerdefiniertes Zertifikat für die gegenseitige Authentifizierung mit dem Standardaliasnamen defaultsecuritykeypairhandle. Um die MTLS-Kommunikation zwischen dem MID Server und der Instanz zu konfigurieren, muss der Zertifikateintrag dem Schlüsselspeicher mit dem Aliasnamen defaultsecuritykeypairhandle hinzugefügt werden.

    Der Dateiname ist ein Dateipfad, der ein PEM-Zertifikat oder eine Zertifikatkette und einen privaten PCKS#8-Schlüssel enthalten kann. Der Dateipfad zum PEM-Bundle kann mehrere Zertifikate und einen einzelnen privaten Schlüssel enthalten. Die Kopf- und Fußzeile jedes PEM-Zertifikats muss wie folgt lauten:

     -----BEGIN CERTIFICATE----- 
     -----END CERTIFICATE-----

    Die Kopf- und Fußzeile der PKCS#8-Syntax müssen wie folgt lauten:

     -----BEGIN PRIVATE KEY----- 
     -----END PRIVATE KEY-----

    Eine Ausnahme wird ausgelöst, wenn die Validierung der Zertifikatkette fehlschlägt. Wenn die Datei mehrere Zertifikate enthält, müssen diese entsprechend geordnet sein: untergeordnetes Zertifikat, Zwischenzertifikate, dann Stammzertifikate.

    Zertifikatdetails für den angegebenen Alias anzeigen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -g <alias>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -g <alias> .

    Dieser Befehl zeigt Informationen wie den eindeutigen Antragstellernamen, den Ausstellernamen und das Ablaufdatum aus dem Zertifikat an.

    Alle vorhandenen Aliasse auflisten

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -l.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -l.

    Dieser Befehl listet alle Aliasnamen auf, die in agent_keystore verfügbar sind.

    Zertifikate mit einem Alias löschen​

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -d <alias>.

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -d <alias>.

    Dieser Befehl löscht den Alias und den Datensatz aus dem Schlüsselspeicher. Der Eintrag für Alias DefaultSecurityKeyPairHandle kann mit diesem Befehl gelöscht werden.

    Alle Einträge aus dem Schlüsselspeicher entfernen

    Verwenden Sie für Windows den folgenden Befehl: bin/scripts/manage-certificates.bat -r ​

    Verwenden Sie für Linux den folgenden Befehl: ./bin/scripts/manage-certificates.sh -r.

    Dieser Befehl löscht die vorhandenen Einträge aus dem Schlüsselspeicher, mit Ausnahme von Alias DefaultSecurityKeyPairHandle. ​

    Stellen Sie den MID-Server-Schlüsselspeicher mit einer Sicherung wieder her

    Wenn der Schlüsselspeicher beschädigt oder versehentlich gelöscht wird, können Sie eine Sicherung des MID-Server-Schlüsselspeichers wiederherstellen. Dies ist besonders nützlich für Schlüsselspeicher mit anwenderdefinierten Schlüsselpaaren, da andernfalls das Neuerstellen von anwenderdefinierten Schlüsselpaardaten schwierig und zeitaufwändig sein kann.

    Vorbereitungen

    Erforderliche Rolle: Agent admin

    Warum und wann dieser Vorgang ausgeführt wird

    Ab dem Tokyo-Release erstellt der MID Server automatisch eine Sicherung der Datei agent_keystore, wenn sie geändert wird. Sicherungen werden in „ security_backup “ im Ordner „agent“ gespeichert. Sie werden außerhalb des Sicherheitsordners gespeichert, um zu verhindern, dass der Sicherheitsordner versehentlich gelöscht oder beschädigt wird.

    Im Sicherungsordner gibt es eine eigene Sicherungsprotokolldatei: keystore_backup_audit_trail.log. Dieses Protokoll verfolgt Sicherungsdateien und Sicherungsaktivitäten. Jeder Sicherungsprotokolleintrag verfügt über einen Sicherungsdateinamen mit Zeitstempel, eine übereinstimmende keypairs.mid_idund eine Liste von Aliassen von Schlüsselpaaren in der Sicherung.

    Hinweis:
    Aus Sicherheitsgründen sollte der Sicherungsschlüsselspeicher dieselben Attribute wie der ursprüngliche Schlüsselspeicher aufweisen, z. B. Besitzer, Gruppe und Berechtigungen. Diese Attribute stellen sicher, dass der MID Server auf Dateisystemebene denselben Schutz hat.

    Die Schlüsselspeichersicherungen können mit den MID-Server-Eigenschaften mid.keystore.max_backups, mid.keystore.max_live_backupsund mid.keystore.backup_overwrite_timespan geändertwerden. Weitere Informationen finden Sie unter MID Server-Eigenschaften.

    Prozedur

    1. MID-Server stoppen.
    2. Navigieren Sie zu security_backup, und zeigen Sie keystore_backup_audit_trail.log an, um auszuwählen, welche Sicherung wiederhergestellt werden soll.
    3. Kopieren Sie diese Sicherung in die Datei agent_keystore im Sicherheitsordner.
      Überprüfen Sie die Dateiberechtigungen, um sicherzustellen, dass sie über denselben Besitzer und dieselben Berechtigungen wie das Original verfügt. Wenn „agent_keystore“ an diesem Speicherort bereits vorhanden ist, überschreiben Sie ihn mit der Sicherung.
    4. Überprüfen Sie die Datei config.xml, um sicherzustellen, dass die Datei keypairs.mid_id mit der Datei in der Audit-Protokolldatei übereinstimmt.
    5. Wahlweise: Wenn „keypairs.mid_id“ nicht übereinstimmen, aktualisieren Sie die Datei „config. xml“ entsprechend.
    6. Navigieren Sie zu der -Instanz, und machen Sie den MID-Server ungültig.
      Dadurch wird ein Systembefehl „ delete_mid_keypair “ in der ecc_queue erstellt.
    7. Suchen Sie alle „delete_mid_keypair“ -Ausgabenachrichten für den MID-Server, und markieren Sie sie als verarbeitet.
      Das Ziel besteht darin, den MID-Server als ungültig zu markieren, ohne das Löschen des Schlüsselpaars auszulösen. Sofern die Systembefehle nicht als verarbeitet markiert sind, löscht der MID-Server das Schlüsselpaar defaultsecuritykeypairhandle unabhängig davon, ob es anwenderdefiniert oder automatisch generiert wurde.
    8. Starten Sie den MID-Server neu.
    9. Navigieren Sie zur -Instanz und validieren Sie den MID Server.