/
enaio® gateway (enaio 11.10 und höher)

enaio® gateway (enaio 11.10 und höher)

Einleitung

Die Zertifikatseinbindung und Datenübertragung per HTTPS für die öffentlichen Endpunkte, die über das enaio® gateway zugänglich sind, richten Sie wie folgt ein. Es werden zwei Möglichkeiten angeboten:

  • Windows Zertifikatsverwaltung

  • Java Key Store

Wählen Sie die Windows-Zertifikatsverwaltung oder den Java Key Store zur Nutzung aus und folgen Sie der jeweiligen Anleitung. Empfohlen wird die Nutzung der Windows-Zertifikatsverwaltung, da sie eine Aktualisierung des enaio® gateway erleichtert.

Windows-Zertifikatsverwaltung

HTTPS aktivieren

  1. Aktivieren Sie die Datenübertragung per HTTPS in der Konfigurationsdatei application-prod.yml, die sich im Verzeichnis ...\services\gateway\apps\os_gateway\config\ befindet. Sie kann mit jedem gängigen Editor bearbeitet werden.

  2. Fügen Sie folgenden Abschnitt hinzu:
    application-prod.yml

    https: { enabled: true, keyAlias: '<alias>', keystorePass: '', keystoreFile: '<somepath>/empty.txt', keystoreType: Windows-ROOT, sslProtocol: 'TLS', sslEnabledProtocols: 'TLSv1.2,TLSv1.3' }

Parameter

Parameter

Beschreibung

Parameter

Beschreibung

enabled

Aktiviert die Datenübertragung per HTTPS.

keyAlias

Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate angegeben, oder das entsprechende Alias des kommerziellen Zertifikats.

keystoreFile

Pfad zu einer existierenden Datei, es kann auch eine leere Textdatei sein. Hier wird aus technischer Sicht nur eine Dummy-Datei benötigt.

keystoreType

Hier ist lediglich Windows-ROOT möglich. Die Alternative Windows-MY für “Eigene Zertifikate” des Benutzers ist aktuell nicht möglich.

 

Werte mit Sonderzeichen benötigen einfache Anführungszeichen.

  1. Speichern und schließen Sie die Datei.

enaio_blueline_gatewayw.exe

Setzen Sie Java Optionen für den Zugriff auf den Windows-Zertifikatsspeicher.

  1. Starten Sie die enaio_blueline_gatewayw.exe unter ...\services\gateway\bin

  2. Wechseln Sie auf den Tab Java

  3. Fügen Sie die folgenden beiden Zeilen den Java Options hinzu:

    -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT -Djavax.net.ssl.trustStore=NONE

Java Key Store

Selbstsignierte Zertifikate

Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, muss das benutzerdefinierte CA-Stammzertifikat, das zum Signieren verwendet wird, in den Java Truststore des enaio gateway JDK (cacerts Datei) hinzugefügt werden, da sonst das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft wird.

Das Einbinden eines Zertifikats kann über die Eingabeaufforderung ...\services\gateway\jdk\bin\keytool.exe erfolgen, alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).

Eingabeaufforderung

...\services\gateway\jdk\bin\keytool.exe -importcert -file <path_to_root_cert_file> -cacerts -alias "enaioroot"

Parameter

Beschreibung

Parameter

Beschreibung

-file

Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. CustomRootCA.crt

Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java Key Store fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.

HTTPS aktivieren

  1. Aktivieren Sie die Datenübertragung per HTTPS in der Konfigurationsdatei application-prod.yml, die sich im Verzeichnis ...\services\gateway\apps\os_gateway\config\ befindet. Sie kann mit jedem beliebigen Editor bearbeitet werden.

  2. Fügen Sie folgenden Abschnitt hinzu: 

    application-prod.yml

    https: { enabled: true, keyAlias: '<alias>', keystorePass: '<passwort>', keystoreFile: '<path_gateway>/keystore/enaioselfSignedWithKey.p12', keystoreType: PKCS12, sslProtocol: 'TLS', sslEnabledProtocols: 'TLSv1.2,TLSv1.3' }

    Parameter

Parameter

Beschreibung

Parameter

Beschreibung

enabled

Aktiviert die Datenübertragung per HTTPS.

keyAlias

Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate angegeben, oder das entsprechende Alias des kommerziellen Zertifikats.

keystorePass

Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei. 

keystoreFile

Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten.

 

Werte mit Sonderzeichen benötigen einfache Anführungszeichen.

  1. Speichern und schließen Sie die Datei.

Wenn Sie ein selbstsigniertes SSL-Zertifikat in enaio® gateway verwenden, dann müssen Sie auf allen Clients dessen CA-Stammzertifikat (ggf. Zertifikatskette) in die vertrauenswürdigen Stammzertifizierungsstellen importieren. Ansonsten wird das Zertifikat von allen Clients als nicht vertrauenswürdig eingestuft und ein Verbindungsaufbau, beispielsweise aus enaio® webclient, schlägt fehl.

Beachten Sie, dass der Firefox-Browser einen eigenen Zertifikatspeicher und nicht den des Systems verwendet, so dass das Stammzertifikat dort separat importiert werden muss: Menü > Einstellungen > Sicherheit > Zertifikate > Zertifikate anzeigen > Importieren

Standardport konfigurieren

Setzen Sie den Standardport des Anwendungsservers auf den HTTPS-Standardport:

  1. Starten Sie dazu den Anwendungsmanager enaio_blueline_gatewayw.exe im Verzeichnis ...\services\gateway\bin

  2. Wechseln Sie auf die Registerkarte Startup und notieren Sie sich den Port auf dem das enaio® gateway aktuell läuft.

  3. Setzen Sie auf der Registerkarte Startup den Parameter -server.port=443

Service-Endpunkte aktualisieren

Sichern Sie sich die bestehende Konfiguration der Service-Endpunkte - beispielsweise indem Sie via regedit.exe den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\OPTIMAL SYSTEMS\enaio_training\Schemata\4.0\Services aus der enaio® server Registry sichern.

Nun passen Sie die Einträge unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften > Services im enaio® enterprise-manager an.

Sie suchen nach allen Einträgen, die auf den FQDN (Fully Qualified Domain Name) und Port, auf denen das enaio® gateway lief, lauten. Wurde Port 80 genutzt, wird er in der Regel nicht explizit angegeben.

Ersetzen Sie für alle Einträge den FQDN durch den im Zertifikat angegebenen X509v3 Subject Alternative Name (SAN), den Port durch Port 443 und stellen Sie das Protokoll von http auf https um.
Lautet beispielsweise zuvor der Eintrag http://<FQDN_alt>/osrest wird daraus https://<FQDN_neu>:443/osrest .

 

Bei einer Standardinstallation sind dies Service-Endpoint und Home-URL von:

  • Rendition-Cache

  • Contentviewer

  • Documentviewer

  • Appconnector

  • Webservice

  • Gateway

  • Detailsviewer

  • Dashlets

Darüber hinaus passen Sie für das gateway auch den Service-Endpoint für Direktzugriff an.