/
enaio® gateway (enaio 11.10)

enaio® gateway (enaio 11.10)

Owned by Michael Peschke (Unlicensed)
Last updated: Apr 01, 2025 by Technische Redaktion
3 min read

Einleitung

Die Zertifikatseinbindung und Datenübertragung per HTTPS für die öffentlichen Endpunkte, die über das enaio® gateway zugänglich sind, richten Sie wie folgt ein. Es werden zwei Möglichkeiten angeboten:

  • Windows Zertifikatsverwaltung

  • Java Key Store

Wählen Sie die Windows-Zertifikatsverwaltung oder den Java Key Store zur Nutzung aus und folgen Sie der jeweiligen Anleitung. Empfohlen wird die Nutzung der Windows-Zertifikatsverwaltung, da sie eine Aktualisierung des enaio® gateway erleichtert.

Windows-Zertifikatsverwaltung

HTTPS aktivieren

  1. Aktivieren Sie die Datenübertragung per HTTPS in der Konfigurationsdatei application-prod.yml, die sich im Verzeichnis ...\services\OS_Gateway\apps\os_gateway\config\ befindet. Sie kann mit jedem beliebigen Editor bearbeitet werden.

  2. Fügen Sie folgenden Abschnitt hinzu:
    application-prod.yml

    https: {  enabled: true,  keyAlias: '<alias>',  keystorePass: '',  keystoreFile: '<somepath>/empty.txt',  keystoreType: Windows-ROOT,  sslProtocol: 'TLS',  sslEnabledProtocols: 'TLSv1.2,TLSv1.3' }

Parameter

Parameter

Beschreibung

Parameter

Beschreibung

enabled

Aktiviert die Datenübertragung per HTTPS.

keyAlias

Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate angegeben, oder das entsprechende Alias des kommerziellen Zertifikats.

keystoreFile

Pfad zu einer existierenden Datei, es kann auch eine leere Textdatei sein. Hier wird aus technischer Sicht nur eine Dummy-Datei benötigt.

keystoreType

Hier ist lediglich Windows-ROOT möglich. Die Alternative Windows-MY für “Eigene Zertifikate” des Benutzers ist aktuell nicht möglich.

 

Werte mit Sonderzeichen benötigen einfache Anführungszeichen.

  1. Speichern und schließen Sie die Datei.

enaio_blueline_gatewayw.exe

  1. Starten Sie die enaio_blueline_gatewayw.exe im bin-Verzeichnis des enaio gateway

  2. Wechseln Sie auf den Tab Java

  3. Fügen Sie die folgenden beiden Zeilen den Java Options hinzu:

    -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Djavax.net.ssl.trustStore=NONE

Java Key Store

Selbstsignierte Zertifikate

Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, muss das benutzerdefinierte CA-Stammzertifikat, das zum Signieren verwendet wird, zu "cacerts" hinzugefügt werden, da sonst das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft wird.

Das Einbinden eines Zertifikats kann über die Eingabeaufforderung erfolgen, alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).

Eingabeaufforderung

<path_to_gateway>\jdk\bin\keytool -importcert -file <path_to_root_cert_file> -cacerts -alias "enaioroot"

Parameter

Beschreibung

Parameter

Beschreibung

-file

Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. CustomRootCA.crt

Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java Key Store fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.

HTTPS aktivieren

  1. Aktivieren Sie die Datenübertragung per HTTPS in der Konfigurationsdatei application-prod.yml, die sich im Verzeichnis ...\services\OS_Gateway\apps\os_gateway\config\ befindet. Sie kann mit jedem beliebigen Editor bearbeitet werden.

  2. Fügen Sie folgenden Abschnitt hinzu: 

    application-prod.yml

    https: {  enabled: true,  keyAlias: '<alias>',  keystorePass: '<passwort>',  keystoreFile: '<path_gateway>/keystore/enaioCertificateWithKey.p12',  keystoreType: PKCS12,  sslProtocol: 'TLS',  sslEnabledProtocols: 'TLSv1.2,TLSv1.3' }

    Parameter

Parameter

Beschreibung

Parameter

Beschreibung

enabled

Aktiviert die Datenübertragung per HTTPS.

keyAlias

Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate angegeben, oder das entsprechende Alias des kommerziellen Zertifikats.

keystorePass

Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei. 

keystoreFile

Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten.

 

Werte mit Sonderzeichen benötigen einfache Anführungszeichen.

  1. Speichern und schließen Sie die Datei.

Wenn Sie ein selbst signiertes SSL-Zertifikat in enaio® gateway verwenden, dann müssen Sie auf allen Clients dessen CA-Stammzertifikat (ggf. Zertifikatskette) in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Ansonsten wird das Zertifikat von allen Clients als nicht vertrauenswürdig eingestuft und ein Verbindungsaufbau, beispielsweise aus enaio® webclient, schlägt fehl.

Beachten Sie, dass der Firefox-Browser einen eigenen Zertifikatspeicher und nicht den des Systems verwendet, so dass das Stammzertifikat dort separat importiert werden muss: Menü > Einstellungen > Sicherheit > Zertifikate > Zertifikate anzeigen > Importieren

Standardport konfigurieren

Setzen Sie den Standardport des Anwendungsservers auf den HTTPS-Standardport:

  1. Starten Sie dazu den Anwendungsmanager enaio_blueline_gatewayw.exe im Verzeichnis ...\services\OS_Gateway\bin

  2. Setzen Sie auf der Registerkarte Startup den Parameter -server.port=443

Service-Endpunkte aktualisieren

Passen Sie die Service-Endpunkte von enaio® gateway und enaio® detailsviewer in enaio® enterprise-manager an. Der eingegebene https://FQDN (Fully Qualified Domain Name) muss dem Namen entsprechen, der im Alternativnamen (SAN) des Zertifikats angegeben ist. Bei einer Standardinstallation sind dies:

  • Fulltext Kategorie

    • Volltext Recherche Server

  • Services Kategorie

    • Rendition-Cache

    • Contentviewer

    • Documentviewer

    • Appconnector

    • Webservice

    • Gateway

    • Detailsviewer

    • Discovery

 

Related content