/
Windows-Zertifikatsverwaltung (empfohlen) (documentviewer)

Windows-Zertifikatsverwaltung (empfohlen) (documentviewer)

Bitte stellen Sie sicher, dass die Zertifikate basierend auf Zertifikatsimport in die Windows-Zertifikatsverwaltung in der Windows-Zertifikatsverwaltung importiert sind.

server.xml

Zertifikat einbinden

Falls Sie ein SSL-Zertifikat für enaio® documentviewer einbinden wollen, müssen Sie die Konfigurationsdatei ...\services\documentviewer\conf\server.xml wie folgt anpassen:

Listener aktivieren

Zuerst müssen Sie den folgenden Listener mit zwei Attributen erweitern, sodass er wie im nachfolgenden Codeblock aussieht. Die Zeile steht relativ am Anfang der Konfigurationsdatei ...\services\documentviewer\conf\server.xml.

server.xml

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" useAprConnector="false" useOpenSSL="true"/>

Connector anpassen

Danach muss der Connector umgestellt werden, sodass er eine SSLHostConfig enthält, die die Windows-Zertifikatsverwaltung nutzt.
Deaktivieren Sie das bestehenden Element Connector und fügen Sie ein Element Connector nach untenstehendem Muster hinzu:

server.xml

<Connector port="8070" sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation" scheme="https" secure="true" SSLEnabled="true" compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml" compression="on" > <SSLHostConfig> <Certificate certificateKeystoreType="Windows-ROOT" certificateKeystoreFile="" certificateKeyAlias="<alias>" /> </SSLHostConfig> </Connector>

Passen Sie diese Parameter an:

Parameter

Beschreibung

certificateKeystoreType

Hier ist lediglich Windows-ROOT (Vertrauenswürdige Stammzertifizierungsstellen) möglich. Die Alternative Windows-MY für des Benutzers "Eigene Zertifikate" ist aktuell nicht möglich.

certificateKeyAlias

Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats.

Zusätzliche Konfigurationen, die dem Connector als Teil der lokalen Systemoptimierungen hinzugefügt wurden, können so beibehalten werden (z. B. MaxThreads).

enaio_documentviewerw.exe

Setzen Sie Java Optionen für den Zugriff auf den Windows-Zertifikatsspeicher.

  1. Starten Sie die ...\services\documentviewer\enaio_documentviewerw.exe des enaio® documentviewer

  2. Wechseln Sie auf den Tab Java

  3. Fügen Sie die folgenden beiden Zeilen den Java Options hinzu:

    -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Djavax.net.ssl.trustStore=NONE

Service-Endpunkte aktualisieren

Sichern Sie sich die bestehende Konfiguration der Service-Endpunkte.

Nun passen Sie die Service-Endpoints für Direktzugriff des Documentviewer und Rendition-Cache unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften > Services im enaio® enterprise-manager an.

Lauten beispielsweise die Einträge
Service-Endpoint für Direktzugriff des Documentviewer http://<FQDN_alt>:8070/osdocumentviewer wird daraus https://<FQDN_neu>:8070/osdocumentviewer .
Service-Endpoint für Direktzugriff des Rendition-Cache http://<FQDN_alt>:8070/osrenditioncache wird daraus https://<FQDN_neu>:8070/osrenditioncache .

Ersetzen Sie den eingetragenen FQDN durch den im (Wildcard-)Zertifikat angegebenen X509v3 Subject Alternative Name (SAN).

config.properties

In der Konfigurationsdatei ...\services\documentviewer\webapps\osrenditioncache\WEB-INF\classes\config\config.properties von enaio® documentviewer muss die URL des Parameters rendition.restAddress angepasst werden.

Lautet beispielsweise der Eintrag rendition.restAddress=http\://<FQDN_alt>\:8070/renditionplus/rest/renCache
wird daraus rendition.restAddress=https\://<FQDN_neu>\:8070/renditionplus/rest/renCache.

Ersetzen Sie den eingetragenen FQDN durch den im (Wildcard-)Zertifikat angegebenen X509v3 Subject Alternative Name (SAN).

Neustart enaio® Komponenten

Damit die Änderungen wirksam werden, starten Sie die folgenden enaio® Komponenten neu:

  • enaio® gateway

  • enaio® documentviewer

  • enaio® service-manager

  • enaio® appconnector

Aktualisierung des enaio® documentviewer

Beachten Sie: Jedes Mal, wenn die Tomcat-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® documentviewer der Fall sein kann, wird die ...\services\documentviewer\conf\server.xml zurückgesetzt. Das heißt, die Registrierung des SSL connector muss erneut vorgenommen werden. Die bisherige ...\services\documentviewer\conf\server.xml wird durch das Setup in ein Backup-Verzeichnis im Root-Verzeichnis der documentviewer-Installation gesichert und kann von dort wiederhergestellt werden.