SSL-Zertifikat für enaio® webservices (nur enaio 10.10 und älter)
SSL-Zertifikat konfigurieren
Falls Sie ein SSL-Zertifikat für enaio® webservices einbinden möchten, müssen Sie die Konfigurationsdatei server.xml aus dem Installationsverzeichnis \conf\ wie folgt anpassen:
server.xml
<Connector port="8050"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml"
compression="on"
keystoreFile="<fullpath>/keystore/enaioCertificateWithKey.p12"
keystoreType="PKCS12"
keystorePass="<password>"
keyAlias="<alias>"
keyPass="<keyPassword>"
>
</Connector>Passen Sie diese Parameter an:
Parameter | Beschreibung |
| Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten. |
| Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei. |
| Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats. |
| Schlüsselpasswort, falls das Zertifikat entsprechend konfiguriert ist. |
Selbstsignierte Zertifikate
Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, dann muss das benutzerdefinierte CA-Stammzertifikat zum Java KeyStore hinzugefügt werden, da das selbstsignierte Zertifikat sonst als nicht vertrauenswürdig eingestuft wird.
Das Einbinden eines Zertifikats kann über die Eingabeaufforderung erfolgen, alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).
Da enaio® webservices als Legacy-Komponente noch JDK8 verwendet, unterscheidet sich die Syntax des Keytools leicht von den Konfigurationsschritten für enaio® gateway oder enaio® service-manager.
Eingabeaufforderung
<path_to_webservices\jdk\bin\keytool\keytool.exe -importcert -file "<path_to_root_cert_file>" -keystore "<path_to_webservices>\jdk\jre\lib\security\cacerts" -alias "enaioroot"
Parameter | Beschreibung |
| Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. |
Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java KeyStore fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.
Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Zertifikats für enaio® webservices verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich vom Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:
enaio® gateway
enaio® service-manager
enaio® documentviewer
Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft.
Beachten Sie: Jedes Mal, wenn die JDK-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® webservices der Fall sein kann, wird der JDK KeyStore zurückgesetzt. Das heißt, die erwähnte Registrierung des benutzerdefinierten CA-Stammzertifikats muss erneut vorgenommen werden.
Kommerzielle CA-Stammzertifikate sind davon nicht betroffen, da sie immer in der Standardliste der bekannten Zertifikate im KeyStore enthalten sind.
Service-Endpunkte aktualisieren
Stellen Sie sicher, dass Sie die Änderungen an allen Service-Endpunkten von enaio® webservices im enaio® enterprise-manager vornehmen, unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften. Der eingegebene FQDN (Fully Qualified Domain Name) muss dem Namen entsprechen, der im Alternativnamen (SAN) des (Wildcard-)Zertifikats angegeben ist.
Nach den Anpassungen der Konfigurationsdateien müssen enaio® gateway und enaio® webservices neu gestartet werden.