SSL-Zertifikat für enaio® appconnector (enaio 11.0 und älter)
SSL-Zertifikat konfigurieren
Falls Sie ein SSL-Zertifikat für enaio® appconnector einbinden möchten, müssen Sie die Konfigurationsdatei server.xml aus dem Installationsverzeichnis \conf\ wie folgt anpassen:
server.xml
<Connector
port="8060"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml"
compression="on"
>
<SSLHostConfig>
<Certificate certificateKeystoreType="pkcs12"
certificateKeystoreFile="<fullpath>\keystore\enaioCertificateWithKey.p12"
certificateKeystorePassword="<password>"
certificateKeyAlias="<alias>"
certificateKeyPassword="<keyPassword>" />
</SSLHostConfig>
</Connector>Passen Sie diese Parameter an:
Parameter | Beschreibung |
| Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten. |
| Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei. |
| Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats. |
| Schlüsselpasswort, falls das Zertifikat entsprechend konfiguriert ist. |
Zusätzliche Konfigurationen, die dem Connector als Teil der lokalen Systemoptimierungen hinzugefügt wurden, können so beibehalten werden (z. B. MaxThreads).
Der bestehende Connector muss deaktiviert werden.
Selbstsignierte Zertifikate
Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, muss das benutzerdefinierte CA-Stammzertifikat zum Java KeyStore hinzugefügt werden, da das selbstsignierte Zertifikat sonst als nicht vertrauenswürdig eingestuft wird.
Das Einbinden eines Zertifikats kann über die Eingabeaufforderung erfolgen, alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).
Da enaio® appconnector als Legacy-Komponente noch JDK8 verwendet, unterscheidet sich die Syntax des Keytools leicht von den Konfigurationsschritten für enaio® gateway oder enaio® service-manager.
Eingabeaufforderung
<path_to_appconnector\jdk\bin\keytool\keytool.exe -importcert -file "<path_to_root_cert_file>" -keystore "<path_to_appconnector>\jdk\jre\lib\security\cacerts" -alias "enaioroot"
Parameter | Beschreibung |
| Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. |
Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java KeyStore fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.
Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Zertifikats für enaio® appconnector verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich vom Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:
enaio® gateway
enaio® service-manager
enaio® documentviewer
Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft.
Beachten Sie: Jedes Mal, wenn die JDK-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® appconnector der Fall sein kann, wird der JDK KeyStore zurückgesetzt. Das heißt, die erwähnte Registrierung des benutzerdefinierten CA-Stammzertifikats muss erneut vorgenommen werden.
Kommerzielle CA-Stammzertifikate sind davon nicht betroffen, da sie immer in der Standardliste der bekannten Zertifikate im KeyStore enthalten sind.
Service-Endpunkte aktualisieren
Stellen Sie sicher, dass Sie die Änderungen an allen Service-Endpunkten von enaio® documentviewer im enaio® enterprise-manager vornehmen, unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften. Der eingegebene FQDN (Fully Qualified Domain Name) muss dem Namen entsprechen, der im Alternativnamen (SAN) des (Wildcard-)Zertifikats angegeben ist.
Nach den Anpassungen der Konfigurationsdateien müssen enaio® gateway und enaio® appconnector neu gestartet werden.