Java KeyStore (alternative) (documentviewer)
server.xml
Zertifikat einbinden
Falls Sie ein SSL-Zertifikat für enaio® documentviewer einbinden wollen, müssen Sie die Konfigurationsdatei ...\services\documentviewer\conf\server.xml wie folgt anpassen:
Deaktivieren Sie das bestehenden Element Connector und fügen Sie ein Element Connector nach untenstehendem Muster hinzu:
server.xml
<Connector
port="8070"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml"
compression="on"
>
<SSLHostConfig>
<Certificate certificateKeystoreType="pkcs12"
certificateKeystoreFile="<fullpath>\keystore\enaioSelfSignedWithKey.p12"
certificateKeystorePassword="<password>"
certificateKeyAlias="<alias>"
certificateKeyPassword="<keyPassword>" />
</SSLHostConfig>
</Connector>Passen Sie diese Parameter an:
Parameter | Beschreibung |
| Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten. |
| Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei. |
| Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats. |
| Schlüsselpasswort, falls das Zertifikat entsprechend konfiguriert ist. |
Zusätzliche Konfigurationen, die dem Connector als Teil der lokalen Systemoptimierungen hinzugefügt wurden, können so beibehalten werden (z. B. MaxThreads).
Selbstsignierte Zertifikate
Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, muss das benutzerdefinierte CA-Stammzertifikat, das zum Signieren verwendet wird, zum Java KeyStore hinzugefügt werden, da sonst das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft wird.
Das Einbinden eines Zertifikats kann über die Eingabeaufforderung ...\services\documentviewer\jdk\bin\keytool.exe erfolgen oder alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).
Eingabeaufforderung
...\services\documentviewer\jdk\bin\keytool.exe -importcert -file <path_to_root_cert_file> -cacerts -alias "enaioroot"Parameter | Beschreibung |
| Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. |
Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java KeyStore fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.
Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Zertifikats für enaio® documentviewer verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich von dem Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:
enaio® gateway
enaio® service-manager
enaio® appconnector
Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft.
Service-Endpunkte aktualisieren
Sichern Sie sich die bestehende Konfiguration der Service-Endpunkte.
Nun passen Sie die Service-Endpoints für Direktzugriff des Documentviewer und Rendition-Cache unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften > Services im enaio® enterprise-manager an.
Lauten beispielsweise die Einträge
Service-Endpoint für Direktzugriff des Documentviewer http://<FQDN_alt>:8070/osdocumentviewer wird daraus https://<FQDN_neu>:8070/osdocumentviewer .
Service-Endpoint für Direktzugriff des Rendition-Cache http://<FQDN_alt>:8070/osrenditioncache wird daraus https://<FQDN_neu>:8070/osrenditioncache .
Ersetzen Sie den eingetragenen FQDN durch den im (Wildcard-)Zertifikat angegebenen X509v3 Subject Alternative Name (SAN).
config.properties
In der Konfigurationsdatei ...\services\documentviewer\webapps\osrenditioncache\WEB-INF\classes\config\config.properties von enaio® documentviewer muss die URL des Parameters rendition.restAddress angepasst werden.
Lautet beispielsweise der Eintrag rendition.restAddress=http\://<FQDN_alt>\:8070/renditionplus/rest/renCache
wird daraus rendition.restAddress=https\://<FQDN_neu>\:8070/renditionplus/rest/renCache.
Ersetzen Sie den eingetragenen FQDN durch den im (Wildcard-)Zertifikat angegebenen X509v3 Subject Alternative Name (SAN).
Neustart enaio® Komponenten
Damit die Änderungen wirksam werden, starten Sie die folgenden enaio® Komponenten neu:
enaio® gateway
enaio® documentviewer
enaio® service-manager
enaio® appconnector
Aktualisierung des enaio® documentviewer
Beachten Sie: Jedes Mal, wenn die Tomcat-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® documentviewer der Fall sein kann, wird die ...\services\documentviewer\conf\server.xml zurückgesetzt. Das heißt, die Registrierung des SSL connector muss erneut vorgenommen werden. Die bisherige ...\services\documentviewer\conf\server.xml wird durch das Setup in ein Backup-Verzeichnis im Root-Verzeichnis der documentviewer-Installation gesichert und kann von dort wiederhergestellt werden.
Beachten Sie: Jedes Mal, wenn die JDK-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® documentviewer der Fall sein kann, wird der JDK KeyStore zurückgesetzt. Das heißt, die erwähnte Registrierung des benutzerdefinierten CA-Stammzertifikats muss erneut vorgenommen werden.
Kommerzielle CA-Stammzertifikate sind davon nicht betroffen, da sie immer in der Standardliste der bekannten Zertifikate im KeyStore enthalten sind.