/
Windows-Zertifikatsverwaltung (empfohlen) (appconnector)

Windows-Zertifikatsverwaltung (empfohlen) (appconnector)

Bitte stellen Sie sicher, dass die Zertifikate basierend auf Zertifikatsimport in die Windows-Zertifikatsverwaltung in der Windows-Zertifikatsverwaltung importiert sind.

server.xml

Zertifikat einbinden

Falls Sie ein SSL-Zertifikat für enaio® appconnector einbinden möchten, müssen Sie die Konfigurationsdatei ...\services\appconnector\conf\server.xml anpassen:

Listener aktivieren

Zuerst müssen Sie den folgenden Listener mit zwei Attributen erweitern, sodass er wie im nachfolgenden Codeblock aussieht. Die Zeile steht relativ weit am Anfang der Konfigurationsdatei ...\services\appconnector\conf\server.xml.

server.xml

<Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" useAprConnector="false" useOpenSSL="true"/>

Connector anpassen

Danach muss der Connector umgestellt werden, sodass er eine SSLHostConfig enthält, die die Windows-Zertifikatsverwaltung nutzt.
Deaktivieren Sie das bestehenden Element Connector und fügen Sie ein Element Connector nach untenstehendem Muster hinzu:

server.xml

<Connector port="8060" sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation" scheme="https" secure="true" SSLEnabled="true" compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml" compression="on" > <SSLHostConfig> <Certificate certificateKeystoreType="Windows-ROOT" certificateKeystoreFile="" certificateKeyAlias="<alias>" /> </SSLHostConfig> </Connector>

Passen Sie diese Parameter an:

Parameter

Beschreibung

certificateKeystoreType

Hier ist lediglich Windows-ROOT (Vertrauenswürdige Stammzertifizierungsstellen) möglich. Die Alternative Windows-MY für des Benutzers "Eigene Zertifikate" ist aktuell nicht möglich.

certificateKeyAlias

Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats.

Zusätzliche Konfigurationen, die dem Connector als Teil der lokalen Systemoptimierungen hinzugefügt wurden, können so beibehalten werden (z. B. MaxThreads).

enaio_blueline_appconnectorw.exe

Setzen Sie Java Optionen für den Zugriff auf den Windows-Zertifikatsspeicher.

  1. Starten Sie die ...\services\appconnector\bin\enaio_appconnectorw.exe des enaio® appconnector.

  2. Wechseln Sie auf den Tab Java

  3. Fügen Sie die folgenden beiden Zeilen den Java Options hinzu:

    -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Djavax.net.ssl.trustStore=NONE

Service-Endpunkt aktualisieren

Sichern Sie sich die bestehende Konfiguration der Service-Endpunkte.

Nun passen Sie den Service-Endpoint für Direktzugriff des Appconnector unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften > Services im enaio® enterprise-manager an.

Lautet beispielsweise zuvor der Eintrag http://<FQDN_alt>:8060/osrest wird daraus https://<FQDN_neu>:8060/osrest .

Ersetzen Sie den eingetragenen FQDN durch den im (Wildcard-)Zertifikat angegebenen X509v3 Subject Alternative Name (SAN).

Neustart enaio® appconnector und enaio® gateway

Damit die Änderungen wirksam werden, starten Sie das enaio® gateway und dann den enaio® appconnector neu.

Aktualisierung des appconnector

Beachten Sie: Jedes Mal, wenn die Tomcat-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® appconnector der Fall sein kann, wird die ...\services\appconnector\conf\server.xml zurückgesetzt. Das heißt, die Registrierung des SSL connector muss erneut vorgenommen werden. Die bisherige ...\services\appconnector\conf\server.xml wird durch das Setup in ein Backup-Verzeichnis im Root-Verzeichnis der appconnector-Installation gesichert und kann von dort wiederhergestellt werden. Es muss ebenfalls geprüft werden, ob die Java Options in der ...\services\appconnector\bin\enaio_appconnectorw.exe nach wie vor vorhanden sind.