SSL-Zertifikat für enaio® documentviewer (enaio 11.0 und älter)
SSL-Zertifikat konfigurieren
Falls Sie ein SSL-Zertifikat für enaio® documentviewer einbinden wollen, müssen Sie die Konfigurationsdatei server.xml aus dem Installationsverzeichnis \conf\ wie folgt anpassen:
server.xml
<Connector
port="8070"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
compressibleMimeType="text/html,text/xml,text/plain,text/css,text/javascript,application/javascript,application/json,image/svg+xml"
compression="on"
>
<SSLHostConfig>
<Certificate certificateKeystoreType="pkcs12"
certificateKeystoreFile="<fullpath>\keystore\enaioCertificateWithKey.p12"
certificateKeystorePassword="<password>"
certificateKeyAlias="<alias>"
certificateKeyPassword="<keyPassword>" />
</SSLHostConfig>
</Connector>Passen Sie diese Parameter an:
Parameter | Beschreibung |
| Pfad zum verwendeten (selbstsignierten) Zertifikat. Diese Datei sollte sowohl das Zertifikat als auch den privaten Schlüssel enthalten. |
| Passwort für die verwendete (selbstsignierte) PKCS12-Zertifikatsdatei. |
| Anzeigename (Alias) des Zertifikats, wie in Schritt 5 des Abschnitts Beispiele für die Erstellung der selbstsignierten Zertifikate beschrieben, oder der entsprechende Alias des kommerziellen Zertifikats. |
| Schlüsselpasswort, falls das Zertifikat entsprechend konfiguriert ist. |
Zusätzliche Konfigurationen, die dem Connector, als Teil der lokalen Systemoptimierungen hinzugefügt wurden, können so beibehalten werden (z. B. MaxThreads).
Der bestehende Connector muss deaktiviert werden.
Selbstsignierte Zertifikate
Wenn Sie ein selbstsigniertes Zertifikat für die enaio®-Komponenten verwenden, muss das benutzerdefinierte CA-Stammzertifikat zum Java KeyStore hinzugefügt werden, da das selbstsignierte Zertifikat sonst als nicht vertrauenswürdig eingestuft wird.
Das Einbinden eines Zertifikats kann über die Eingabeaufforderung erfolgen, alternativ über Tools wie den KeyStore Explorer (siehe auch Erste Schritte und häufig gestellte Fragen).
Eingabeaufforderung
<path_to_documentviewer>\jdk\bin\keytool -importcert -file <path_to_root_cert_file> -cacerts -alias "enaioroot"
Parameter | Beschreibung |
| Pfad zum benutzerdefinierten Stammzertifikat im PEM-Format, z. B. |
Achten Sie beim Importieren des benutzerdefinierten CA-Stammzertifikats darauf, dass das Keytool nach dem Passwort für Java KeyStore fragt (Standardwert ist changeit) und nicht nach dem Zertifikatspasswort.
Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Zertifikats für enaio® documentviewer verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich vom Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:
enaio® gateway
enaio® service-manager
enaio® appconnector
Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft.
Beachten Sie: Jedes Mal, wenn die JDK-Version aktualisiert wurde, was beim Ausführen des neuen Installationsprogramms von enaio® documentviewer der Fall sein kann, wird der JDK KeyStore zurückgesetzt. Das heißt, die erwähnte Registrierung des benutzerdefinierten CA-Stammzertifikats muss erneut vorgenommen werden.
Kommerzielle CA-Stammzertifikate sind davon nicht betroffen, da sie immer in der Standardliste der bekannten Zertifikate im KeyStore enthalten sind.
Service-Endpunkte aktualisieren
enaio® enterprise-manager
Stellen Sie sicher, dass Sie die Änderungen an allen Service-Endpunkten von enaio® documentviewer im enaio® enterprise-manager vornehmen, unter Console Root > EnterpriseManager > ... > Einstellungen > Servereigenschaften. Der eingegebene FQDN (Fully Qualified Domain Name) muss dem Namen entsprechen, der im Alternativnamen (SAN) des (Wildcard-)Zertifikats angegeben ist.
config.properties
In der Konfigurationsdatei config.properties aus dem Verzeichnis \webapps\osrenditioncache\WEB-INF\classes\config von enaio® documentviewer muss die URL des Parameters rendition.restAdress angepasst werden. Angepasst werden muss https und die Adresse: IP oder Domain Name.
Danach müssen enaio® gateway, enaio® documentviewer, enaio® service-manager und enaio® appconnector neu gestartet werden.