Java KeyStore (alternative) (appconnector)

server.xml

Zertifikat einbinden

Falls Sie ein SSL-Zertifikat für enaio® appconnector einbinden möchten, müssen Sie die Konfigurationsdatei ...\services\appconnector\conf\server.xml anpassen.
Deaktivieren Sie das bestehenden Element Connector und fügen Sie ein Element Connector nach untenstehendem Muster hinzu:

server.xml

<Connector            
            port="8060"            
            protocol="org.apache.coyote.http11.Http11NioProtocol"            
            maxThreads="150"            
            SSLEnabled="true"            
            compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml"            
            compression="on"        
        >
        <SSLHostConfig>
            <Certificate certificateKeystoreType="pkcs12"
                certificateKeystoreFile="<fullpath>\keystore\enaioSelfSignedWithKey.p12"
                certificateKeystorePassword="<password>"
                certificateKeyAlias="<alias>"
                certificateKeyPassword="<keyPassword>" />
        </SSLHostConfig>    
</Connector>

Passen Sie diese Parameter an:

Parameter	Beschreibung
`certificateKeystoreFile`	Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten.
`certificateKeyStorePassword`	Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei.
`certificateKeyAlias`	Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats.
`certificateKeyPassword`	Schlüsselpasswort, falls das Zertifikat entsprechend konfiguriert ist.

Zusätzliche Konfigurationen, die dem Connector als Teil der lokalen Systemoptimierungen hinzugefügt wurden, können so beibehalten werden (z.B. MaxThreads).

Selbstsignierte Zertifikate

Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, muss das benutzerdefinierte CA-Stammzertifikat, das zum Signieren verwendet wird, zum Java KeyStore hinzugefügt werden, da sonst das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft wird.

Das Einbinden eines Zertifikats kann über die Eingabeaufforderung ...\services\appconnector\jdk\bin\keytool.exe erfolgen oder alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).

Da enaio® appconnector als Legacy-Komponente noch JDK8 verwendet, unterscheidet sich die Syntax des Keytools leicht von den Konfigurationsschritten für enaio® gateway oder enaio® service-manager.

Eingabeaufforderung

...\services\appconnector\jdk\bin\keytool.exe -importcert -file "<path_to_root_cert_file>" -keystore "<path_to_appconnector>\jdk\lib\security\cacerts" -alias "enaioroot"

Parameter	Beschreibung
`-file`	Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. `CustomRootCA.crt`

Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java KeyStore fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.

Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Zertifikats für enaio® appconnector verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich von dem Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:

enaio® gateway
enaio® service-manager
enaio® documentviewer

Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft.

Service-Endpunkt aktualisieren

Sichern Sie sich die bestehende Konfiguration der Service-Endpunkte.

Nun passen Sie den Service-Endpoint für Direktzugriff des Appconnector unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften > Services im enaio® enterprise-manager an.

Lautet beispielsweise zuvor der Eintrag http://<FQDN_alt>:8060/osrest wird daraus https://<FQDN_neu>:8060/osrest .

Ersetzen Sie den eingetragenen FQDN durch den im (Wildcard-)Zertifikat angegebenen X509v3 Subject Alternative Name (SAN).

Neustart enaio® appconnector und enaio® gateway

Damit die Änderungen wirksam werden, starten Sie das enaio® gateway und dann den enaio® appconnector neu.

Aktualisierung des appconnector

Beachten Sie: Jedes Mal, wenn die JDK-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® appconnector der Fall sein kann, wird der JDK KeyStore zurückgesetzt. Das heißt, die Registrierung des benutzerdefinierten CA-Stammzertifikats muss erneut vorgenommen werden.

Kommerzielle CA-Stammzertifikate sind davon nicht betroffen, da sie immer in der Standardliste der bekannten Zertifikate im KeyStore enthalten sind.

Beachten Sie: Jedes Mal, wenn die Tomcat-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® appconnector der Fall sein kann, wird die...\services\appconnector\conf\server.xml zurückgesetzt. Das heißt, die Registrierung des SSL connector muss erneut vorgenommen werden. Die bisherige ...\services\appconnector\conf\server.xml wird durch das Setup in ein Backup-Verzeichnis im Root-Verzeichnis der appconnector-Installation gesichert und kann von dort wiederhergestellt werden.