Настройка bat ssl

Обновлено: 21.11.2024

При установке ALES демонстрационные сертификаты предоставляются и настраиваются автоматически для работы в среде разработки. Однако очень важно, чтобы эти сертификаты не использовались в производственной среде.

Secure Sockets Layer (SSL) описан в следующих разделах.

Основная информация о SSL и ALES содержится в следующих разделах.

Закрытые ключи, цифровые сертификаты и доверенные центры сертификации

Закрытые ключи, цифровые сертификаты и доверенные центры сертификации устанавливают и проверяют подлинность сервера. SSL использует шифрование с открытым ключом для аутентификации. При шифровании с открытым ключом для сервера генерируются открытый ключ и закрытый ключ. Данные, зашифрованные с помощью открытого ключа, могут быть расшифрованы только с использованием соответствующего закрытого ключа и наоборот. Закрытый ключ тщательно защищен, поэтому только его владелец может расшифровать сообщения, зашифрованные с помощью открытого ключа.

Открытый ключ встроен в цифровой сертификат вместе с дополнительной информацией, описывающей владельца открытого ключа, такой как имя, почтовый адрес и адрес электронной почты. Закрытый ключ и цифровой сертификат обеспечивают идентификацию сервера.

Данные, встроенные в цифровой сертификат, проверяются центром сертификации (ЦС) и подписываются цифровым сертификатом центра сертификации. Известные центры сертификации включают Verisign и Entrust. Доверенный сертификат ЦС устанавливает доверие к сертификату.

Веб-браузеры, серверы и другие приложения с поддержкой SSL обычно принимают в качестве подлинного любой цифровой сертификат, подписанный доверенным центром сертификации и являющийся действительным в других отношениях. Например, цифровой сертификат может быть недействительным из-за того, что срок его действия истек, или из-за того, что цифровой сертификат ЦС, использованный для его подписи, истек, или из-за того, что имя хоста в цифровом сертификате сервера не соответствует URL-адресу, указанному клиентом.< /p>

Односторонний SSL и двусторонний SSL

Вы можете настроить SSL для использования односторонней или двусторонней аутентификации:

Односторонний SSL

Чтобы установить соединение SSL, сервер должен предоставить сертификат клиенту, но клиент не обязан предоставлять сертификат серверу. Чтобы успешно согласовать соединение SSL, клиент должен аутентифицировать сервер, но сервер принимает любого клиента в соединение. Односторонний SSL распространен в Интернете, где клиенты хотят создать безопасное соединение, прежде чем делиться личными данными. Часто клиенты используют SSL для входа в систему, чтобы сервер мог их аутентифицировать. По умолчанию Сервер администрирования настроен на односторонний SSL с использованием демонстрационных сертификатов.

Двусторонний SSL

Чтобы установить соединение SSL, сервер должен предоставить сертификат клиенту, а клиент также должен предоставить сертификат серверу. ALES можно настроить таким образом, чтобы перед завершением SSL-подключения клиенты запрашивали действительные и доверенные сертификаты.

Хранилища ключей

Хранилище ключей – это механизм, предназначенный для создания и управления парами закрытый ключ/цифровой сертификат и доверенными сертификатами ЦС.

Доступ ко всем записям закрытого ключа в хранилище ключей осуществляется с помощью уникальных псевдонимов и пароля, которые указываются при создании закрытого ключа в хранилище ключей. Псевдоним по умолчанию для сертификатов Сервера администрирования ALES — ales-webserver. Примечание. Псевдонимы нечувствительны к регистру; псевдонимы Hugo и Hugo будут относиться к одной и той же записи хранилища ключей.

ALES явно доверяет всем центрам сертификации, чьи записи находятся в хранилище ключей, настроенном как доверенные. Хотя ALES не использует псевдоним для доступа к доверенным сертификатам ЦС, хранилище ключей требует псевдоним при загрузке сертификата доверенного ЦС в хранилище ключей.

При установке используются два хранилища ключей для установления доверительных отношений между Сервером администрирования и клиентами:

    Webserver.jks — хранилище ключей находится в каталоге ssl Серверов администрирования. Он содержит:
      демонстрационный закрытый ключ для Сервера администрирования. идентификатор Сервера администрирования в общедоступном сертификате, подписанном доверенным центром сертификации ALES Demo и привязанном к имени хоста сервера. общедоступный сертификат для самого ALES Demo CA.

    Описания распространенных команд keytool см. в разделе Утилита Keytool на странице 3-9.

    Как Сервер администрирования устанавливает доверие

      Браузеры Internet Explorer. Клиенты браузера не будут иметь демонстрационный сертификат ALES или демонстрационный сертификат CA в доверенном хранилище, поэтому при доступе к консоли администрирования будет отображаться окно предупреждения системы безопасности. В окне пользователь может доверять демонстрационному сертификату Сервера администрирования. Примечание. Окно с предупреждением не отображается, если Сервер администрирования настроен на использование действительного подписанного сертификата. Клиенты регистрации SSM и SCM. Клиент регистрации использует свое хранилище ключей DemoTrust.jks для установления доверия.Когда клиент пытается зарегистрироваться, Сервер администрирования предоставляет свой публичный сертификат для проверки клиенту регистрации. Клиент будет доверять сертификату, потому что хранилище ключей DemoTrust.jks, которое он использует в «демонстрационном» режиме, имеет тот же сертификат CA ALES Demo.

    При обновлении сертификатов важно помнить, что и сервер, и клиент доверяют общему центру сертификации.

    Чтобы настроить SSL для производственной среды, необходимо создать хранилище ключей для замены Webserver.jks и настроить Сервер администрирования для его использования. Затем вы можете настроить ALES для использования одностороннего или двустороннего SSL.

    Процедуры, описанные в этом разделе, используют утилиту keytool компании Sun. Информацию об этом инструменте см. в разделе Утилита Keytool.

    Эти инструкции предназначены для The Bat! версии 7.4, но, вероятно, будет аналогичной для других версий.

    В меню выберите «Учетная запись», а затем «Создать».

    На появившейся странице введите свои данные. Установите Тип протокола на IMAP или POP. Нажмите "Далее".

    Выберите, будет ли The Bat! следует использовать IMAP4 или POP3. Если у вас VPOP3 Basic, то надо ставить POP3. Если у вас VPOP3 Enterprise, мы рекомендуем вам выбрать IMAP, но могут быть ситуации, когда вместо этого вы захотите использовать POP3. Если доступ к вашей электронной почте будет осуществляться более чем одним компьютером/устройством, настоятельно рекомендуется использовать протокол IMAP, чтобы ваша электронная почта синхронизировалась между устройствами.

    В поле Тип подключения оставьте значение Обычное (небезопасное), если вы не установили сертификат SSL в VPOP3 Enterprise. Если у вас есть, выберите Безопасный для обычного порта (STARTTLS), если вы установили тип шифрования для служб VPOP3 POP3/IMAP4 на «STLS» или «STARTTLS», или Безопасный для выделенного порта (TLS), если вы установили тип шифрования для служб VPOP3 POP3/IMAP4 на «SSL».

    Обычно вы оставляете порт по умолчанию, если только вы не изменили его в соответствующих настройках службы VPOP3.

    В поле Имя пользователя введите свое имя пользователя, указанное в настройках пользователя VPOP3. Обратите внимание, что это просто имя пользователя, а не полный адрес электронной почты.

    В поле Адрес исходящего (SMTP) сервера введите IP-адрес или имя компьютера, на котором запущено программное обеспечение VPOP3. Это то же самое, что и адрес сервера на предыдущей странице.

    В поле Тип подключения оставьте значение Обычное (небезопасное), если вы не установили сертификат SSL в VPOP3 Enterprise. Если у вас есть, выберите Безопасный для обычного порта (STARTTLS), если вы установили тип шифрования для службы SMTP VPOP3 на «STARTTLS», или Безопасный для выделенного порта (TLS), если вы установили тип шифрования для службы VPOP3 SMTP на "SSL".

    Обычно вы оставляете порт по умолчанию, если только вы не изменили его в настройках службы SMTP VPOP3.

    Мы рекомендуем установить флажок Мой SMTP-сервер требует аутентификации для отправки почтового ящика.

    Проверьте правильность вашего имени (это то, что отображается в отправленных сообщениях).

    Настройка имени учетной записи отображается в The Bat!

    Оставить домашнюю папку

    Если вы считаете, что этот раздел справки можно улучшить, отправьте нам конструктивный отзыв

    Примечание: "> Примечание. Задачу, описанную здесь, должны выполнять только опытные пользователи. Прежде чем продолжить, рассмотрите свои варианты альтернативных решений, пока не будете уверены, что хотите продолжить. Для получения дополнительных ресурсов обратитесь к сообществу FME или в службу поддержки FME. .

    • Уровень квалификации: продвинутый
    • Приблизительное время: 45–60 минут.
    • Предпосылки:
      • Тестируйте задания и службы, чтобы убедиться, что сервер FME полностью функционален. Для получения дополнительной информации см.:
          (Windows) (Linux)

        Ознакомление с инструкциями центра сертификации (CA) от вашего поставщика сертификатов, в частности, для создания запроса на подпись сертификата (CSR).

        Примечание: "> Примечание. Если вы используете маршрутизацию запросов приложений Microsoft IIS (ARR), обратитесь к этой статье сообщества FME.

        Примечание: "> Примечание. В следующих инструкциях приведены шаги по настройке SSL для Apache Tomcat, который является сервером приложений, включенным в экспресс- или отказоустойчивую установку FME Server, а также в качестве опции для некоторых распределенных установок. Инструкции настройки SSL на разных серверах веб-приложений различаются.

        Использование сертификата, выданного ЦС

        Этот метод требует, чтобы вы сгенерировали запрос на подпись сертификата от сервера FME, который ваша ИТ-команда может использовать для создания сертификата ЦС с расширениями .cer или .crt. Если в сертификате используется расширение .pfx, перейдите к разделу Использование сертификата PFX или P12 (ниже).

        Откройте текстовый редактор и скопируйте приведенный ниже пример скрипта, заменив значения аргументов своими собственными.

        Примечание: "> Примечание. Аргументы storepass и keypass должны быть одинаковыми и содержать не менее 6 символов.

        keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias alias > -dname " dname >" -storepass storepass > -keypass keypass > -ext san Italics">san >" -deststoretype pkcs12

        Использование этого аргумента в команде исключает любое взаимодействие с пользователем.

        keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias tomcat -dname "CN=fmeserver.example.org, OU=support, O=SafeSoftware, L=Surrey, S=BC, C=CA" -storepass password1 -keypass password1 -ext san="dns:fmeserver.example.org,dns:fmeserver" -deststoretype pkcs12

          Откройте командную строку от имени администратора и перейдите в каталог bin Java установки FME Server:

        cd FMEServerDir >\Utilities\jre\bin\

        Где FMEServerDir > — расположение папки установки FME Server.

        В командной строке оставайтесь в каталоге FMEServerDir >\Utilities\jre\bin\ и выполните:

        keytool -certreq -keyalg RSA -alias псевдоним > -file имя файла > -keystore tomcat.keystore -ext san Italics">san >"

        Укажите путь запроса подписи сертификата к имени файла > и обновите псевдоним > и san >, чтобы они соответствовали заданному на шаге 1.

        keytool -certreq -keyalg RSA -псевдоним tomcat -file certreq.csr -keystore tomcat.keystore -ext san="dns:fmeserver.example.org,dns:fmeserver"

        Отправьте CSR (например, certreq.csr), созданный на шаге 3, в свой центр сертификации для получения сертификата в соответствии с инструкциями вашего центра сертификации.

        Если у вас несколько сертификатов, установите их в следующем порядке и обязательно обновите псевдоним и путь сертификата для каждого.

          Импортируйте корневой сертификат (если он у вас есть):

        keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file path/certificate_filename >

        keytool -import -alias middle -keystore tomcat.keystore -trustcacerts -file path/certificate_filename >

        keytool -import -alias alias > -keystore tomcat.keystore -trustcacerts -file path/certificate_filename >

        Примечание: "> Примечание. Используйте тот же псевдоним, > указанный в шаге 1.

        В командной строке из FMEServerDir >\Utilities\jre\bin\ используйте следующую команду, чтобы импортировать хранилище ключей в доверенные сертификаты FME Server, указав аргумент srcstorepass с паролем из шага 1.

        keytool -importkeystore -noprompt -srckeystore tomcat.keystore -destkeystore " FMEServerDir >\Utilities\jre\lib\security\cacerts" -deststorepass changeit -srcstorepass пароль >

        Примечание: "> Примечание. Не обращайте внимания на предупреждение о том, что тип назначения по умолчанию должен быть jks.

        Перейдите к \Utilities\tomcat\conf и создайте резервные копии server.xml, web.xml и context.xml. Мы рекомендуем этот шаг, чтобы при необходимости можно было легко отменить настройку в любой момент.

        1. Запустите текстовый редактор от имени администратора и откройте файл server.xml, расположенный в каталоге FMEServerDir >\Utilities\tomcat\conf.
        2. Найдите параметр SSLEngine в
        3. элемент, включая className="org.apache.catalina.core.AprLifecycleListener" и измените значение "on" на "off" .
        4. Найдите элемент, содержащий protocol="org.apache.coyote.http11.Http11NioProtocol", и замените весь элемент следующим:

        Обязательно обновите параметры keystoreFile и keystorePass, указав местоположение хранилища ключей и пароль, установленные на шаге 1. Пример см. в этом справочнике server.xml.

        а. Запустите текстовый редактор от имени администратора и откройте файл fmeServerConfig.txt.

        <р>в. Сохраните и закройте файл.

        Сервер FME Server WebSocket Server поддерживает незащищенные (ws://) или безопасные соединения (wss://). Эта конфигурация требуется только в том случае, если вы хотите использовать WebSocket Server или Topic Monitoring (устаревшие версии).

        1. Запустите текстовый редактор от имени администратора и откройте файл fmeWebSocketConfig.txt в каталоге установки сервера FME (FMEServerDir >\Server).
        2. Задайте для WEBSOCKET_ENABLE_SSL=true .
        3. Раскомментируйте директиву WEBSOCKET_KEYSTORE_FILE_PATH и задайте для нее ссылку на файл хранилища ключей, заданный в server.xml на шаге 8. Например:

        WEBSOCKET_KEYSTORE_FILE_PATH= FMEServerDir >/Utilities/tomcat/tomcat.keystore

        Примечание: "> Примечание. Используйте косую черту, которая может отличаться от пути в файле server.xml.

        Примечание: "> Примечание. Не заключайте пароль в кавычки.

        • FMEServerDir >\Server\config\subscribers\websocket.properties
        • FMEServerDir >\Server\config\publishers\websocket.properties

        Примечание: "> Примечание. FMESharedResourceDir > относится к расположению системного общего ресурса FME Server, указанному во время установки.

        Примечание: "> Примечание. Этот шаг применим только в том случае, если вы хотите использовать встроенную проверку подлинности Windows (единый вход) для доступа к веб-интерфейсу сервера FME.

        1. Запустите текстовый редактор от имени администратора и откройте файл свойств fmeserver.properties, расположенный в папке FMEServerDir >\Utilities\tomcat\webapps\fmeserver\WEB-INF\conf\.
        2. Найдите параметр SINGLE_SIGN_ON_AUTH_URL и обновите часть имени хоста и порта URL-адреса, чтобы они соответствовали имени хоста, через который осуществляется доступ к веб-интерфейсу пользователя FME Server.

        Использование сертификата PFX или P12

        1. Импортируйте хранилище ключей PFX в хранилище ключей сервера FME
          1. Откройте командную строку от имени администратора и перейдите в каталог установки Java bin FME Server:

          cd FMEServerDir >\Utilities\jre\bin\

          Примечание: "> Примечание: FMEServerDir > указывает на расположение папки установки FME Server, указанное во время установки.

          keytool -importkeystore -srckeystore certpath >\ имя_сертификата >.pfx -srcstoretype pkcs12 -destkeystore tomcat.keystore -deststoretype pkcs12

          Перейдите в FMEServerDir >\Utilities\tomcat\conf и сделайте резервные копии server.xml, web.xml и context.xml.

          1. Запустите текстовый редактор от имени администратора и откройте файл server.xml, расположенный в каталоге FMEServerDir >\Utilities\tomcat\conf.
          2. Найдите параметр SSLEngine в
          3. элемент, включая className="org.apache.catalina.core.AprLifecycleListener" и измените значение "on" на "off" .
          4. Найдите элемент, содержащий protocol="org.apache.coyote.http11.Http11NioProtocol", и замените весь элемент следующим:

          Обязательно обновите параметры keystoreFile и keystorePass, указав местоположение хранилища ключей и пароль, установленные на шаге 1. Пример см. в этом справочнике server.xml.

          а. Запустите текстовый редактор от имени администратора и откройте файл fmeServerConfig.txt.

          <р>в. Сохраните и закройте файл.

          Примечание: "> Примечание. Инструкции могут немного отличаться в браузере, отличном от Chrome.

          а. Перезапустите службу сервера приложений FME Server

          <р>в. Просмотрите сертификат в браузере.

          д. Откройте Подробности и нажмите Копировать в файл .

          <р>т.е. Сохраните файл X.509 (CER) в кодировке Base-64 на локальный диск (например, certpath >\mycert.cer)

          ж. Импортировать хранилище ключей в доверенные сертификаты FME Server

          В командной строке из FMEServerDir >\Utilities\jre\bin\ используйте следующую команду, чтобы импортировать хранилище ключей в доверенные сертификаты FME Server:

          keytool -import -trustcacerts -keystore FMEServerDir >\Utilities\jre\lib\security\cacerts -storepass changeit -noprompt -file certpath >\mycert.cer

          Сервер FME Server WebSocket Server поддерживает незащищенные (ws://) или безопасные соединения (wss://). Эта конфигурация требуется только в том случае, если вы хотите использовать WebSocket Server или Topic Monitoring (устаревшие версии).

          1. Запустите текстовый редактор от имени администратора и откройте файл fmeWebSocketConfig.txt в каталоге установки сервера FME (FMEServerDir >\Server).
          2. Задайте для WEBSOCKET_ENABLE_SSL=true .
          3. Раскомментируйте директиву WEBSOCKET_KEYSTORE_FILE_PATH и задайте для нее ссылку на файл хранилища ключей, указанный в server.xml на шаге 3. Например:

          WEBSOCKET_KEYSTORE_FILE_PATH= FMEServerDir >/Utilities/tomcat/tomcat.keystore

          Примечание: "> Примечание. Используйте косую черту, которая может отличаться от пути в файле server.xml.

          Примечание: "> Примечание. Не заключайте пароль в кавычки.

          • FMEServerDir >\Server\config\subscribers\websocket.properties
          • FMEServerDir >\Server\config\publishers\websocket.properties

          Примечание: "> Примечание. FMESharedResourceDir > относится к расположению системного общего ресурса FME Server, указанному во время установки.

          Примечание: "> Примечание. Этот шаг применим только в том случае, если вы хотите использовать встроенную проверку подлинности Windows (единый вход) для доступа к веб-интерфейсу сервера FME.

          1. Запустите текстовый редактор от имени администратора и откройте файл свойств fmeserver.properties, расположенный в папке FMEServerDir >\Utilities\tomcat\webapps\fmeserver\WEB-INF\conf\.
          2. Найдите параметр SINGLE_SIGN_ON_AUTH_URL и обновите часть имени хоста и порта URL-адреса, чтобы они соответствовали имени хоста, через который осуществляется доступ к веб-интерфейсу пользователя FME Server.

          Запустите сценарий mfcInstallCertificates.bat, чтобы импортировать SSL-сертификаты для каждого из источников данных:

          В папке Utilities откройте пакетный файл mfcInstallCertificates.bat для редактирования.

          Введите значения в файл для первого источника данных:

          Пользователь/пароль: имя пользователя и пароль администратора для службы Micro Focus Connect.

          Чтобы запустить скрипт, откройте командную строку от имени администратора и перейдите в папку "Утилиты".

          Запустите пакетный файл mfcInstallCertificates.bat.

          При появлении запроса на добавление сертификатов выберите сертификаты для импорта по их порядковым номерам.

          Измените свойства скрипта и запустите скрипт для каждого источника данных.

          Следующие шаги:

          Сообщите нам, как мы можем улучшить работу Справочного центра.

          Последнее обновление: 14 ноября 2021 г.

          Советы по улучшению результатов поиска. Справочный центр Micro Focus Connect Справка Micro Focus Connect 4.0-4.4.1 Все Просмотреть локальный справочный центр Просмотреть онлайн-справочный центр назад Вернуться в историю браузера вперед Перейти вперед в истории браузера Удалить выделение результатов поиска следующая тема Перейти к следующей теме предыдущая тема Перейти к предыдущей теме Распечатать текущую версию темы:

          Читайте также: