/
enaio® server und die Clients (enaio 11.0 und älter)

enaio® server und die Clients (enaio 11.0 und älter)

 

Die hier aufgeführten Konfigurationsschritte werden nur benötigt, wenn auch die Kommunikation von enaio® client zu enaio® server, bzw. von den Services zu enaio® server über ein benutzerdefiniertes Zertifikat abgesichert werden soll. Ansonsten wird diese Kommunikation über ein eingebautes Zertifikat gesichert.

Falls Sie ein SSL-Zertifikat für enaio® server einbinden wollen, dann müssen Sie folgende Konfigurationsdateien anpassen:

  • Jeweils für enaio® server, enaio® client, für die administrativen Clients und für Komponenten wie enaio® capture: osssl.cfg

  • Jeweils für enaio® client, für die administrativen Clients und für Komponenten wie enaio® capture: asinit.cfg

  • Für enaio® gateway: application-prod.yml

  • Für enaio® service-manager: application-blue.yml

  • Für enaio® documentviewer: config.properties

  • Für enaio® appconnector: osrest.properties

enaio® server

osssl.cfg von enaio® server

Die Konfigurationsdatei osssl.cfg wird in das Installationsverzeichnis von enaio® server installiert. Folgende Dateien müssen angepasst werden.

Server: osssl.cfg

Anpassung

Server: osssl.cfg

Anpassung

[osclient_ssl_section]

VerifyMode = Peer 

VerifyCAFile = dateiname

...

[osclient_ssl_section]

VerifyMode = Peer

VerifyCAFile = dateiname

Pfad zu einer Datei im PEM-Format, die vertrauenswürdige Zertifikate enthält, die zur Überprüfung des Serverzertifikats verwendet werden sollen, z. B. D:/server/tls/<my-root-cert>.pem.

Bei der Verwendung von selbstsignierten Zertifikaten ist dies die Datei CustomRootCA.crt (siehe Beispiele für die Erstellung der selbstsignierten Zertifikate).

Wichtig: Bei einem Multi-Server-Setup, bei dem die enaio®-Server direkt miteinander kommunizieren, kann ein Server auch im Client-Modus arbeiten, weshalb dieser Abschnitt benötigt wird.

[osserver_ssl_section]

Certificate = dateiname

...

Pfad zu einer Datei im PEM-Format, die das Serverzertifikat enthält, z. B. D:/server/tls/<my-cert>.pem.

Die PEM-Datei sollte sowohl das Serverzertifikat (vollständige Zertifizierungskette bis einschließlich des Stammzertifikats) als auch den privaten Schlüssel des Serverzertifikats enthalten.

Bei der Verwendung von selbstsignierten Zertifikaten ist dies enaioCertificateFullChainWithKey.pem.

[osserver_private_section]
pwd = <passwort>

...

Passwort für das (selbstsignierte) Serverzertifikat, z. B. enaioCertificateFullChainWithKey.pem.

Bitte beachten Sie, dass das Passwort mit dem enaio® server-Tool axencryptpwd.exe verschlüsselt werden muss, das sich im Ordner Tools auf dem Installationsmedium befindet. Da das verschlüsselte Passwort mit "$" beginnt, muss es mit "\" (Backslash) maskiert werden.

Diese Änderungen müssen für jeden enaio® server vorgenommen werden.

Clients

Bitte beachten Sie, dass die folgenden enaio®-Komponenten als Clients mit dem Server kommunizieren und alle Konfigurationsdateien aktualisiert werden müssen:

  • enaio® client → <enaio Installationspfad>\clients\client32\osssl.cfg und <enaio Installationspfad>\clients\client32\asinit.cfg

  • enaio® administrator → <enaio Installationspfad>\clients\administration\osssl.cfg und <enaio Installationspfad>\clients\administration\asinit.cfg

    • enaio® enterprise-manager

    • enaio® editor

    • enaio® editor-for-workflow

    • enaio® administrator-for-workflow

  • enaio® capture → <enaio Installationspfad>\clients\capture\osssl.cfg und <enaio Installationspfad>\clients\capture\asinit.cfg

osssl.cfg der Clients

Die Konfigurationsdatei osssl.cfg wird in das Installationsverzeichnis aller Clients installiert. Diese Dateien müssen angepasst werden.

Clients: osssl.cfg

Anpassung

Clients: osssl.cfg

Anpassung

[osclient_ssl_section]

VerifyMode = Peer 

VerifyCAFile = dateiname

...

[osclient_ssl_section]

VerifyMode = Peer

VerifyCAFile = dateiname

Pfad zu einer Datei im PEM-Format, die vertrauenswürdige Zertifikate enthält, die zur Überprüfung des Serverzertifikats verwendet werden sollen, z. B. D:/server/tls/<my-root-cert>.pem

Bei der Verwendung von selbstsignierten Zertifikaten ist dies die Datei CustomRootCA.crt (siehe Beispiele für die Erstellung der selbstsignierten Zertifikate).

asinit.cfg der Clients

Clients: asinit.cfg

Anpassung

Clients: asinit.cfg

Anpassung

[ARCHIVE]
Comstring=<Server_FQDN>#<ServerPort>
COMMODULE=axavapps.dll

[SERVER]
info=loeschen Sie das Semikolon vor dem Sektionsnamen "Server", um die Auswahl der Server beim Start des Clients zu aktivieren
SERVER0=<Server_FQDN>#<ServerPort>

[REGISTRATION]

...

Stellen Sie sicher, dass alle Einträge in der Datei asinit.cfg, die sich auf die Adresse von enaio® server beziehen, aktualisiert werden und die FQDNs enthalten.

Beispiel:

'[ARCHIVE]' → CommString=<Server_FQDN>#<ServerPort>

'[SERVER]' → SERVER0=<Server_FQDN>#<ServerPort>

usw.

Der Standard-Serverport ist 4000 (wie in der Dokumentation definiert). Falls ein benutzerdefinierter Server-Port verwendet wird, müssen Sie ihn auch hier ändern.

Andere Konfigurationsdateien

Datei application-prod.yml von enaio® gateway

Ergänzen Sie in der Datei application-prod.yml aus dem Verzeichnis \Services\gateway\apps\os_gateway\config\ folgende Zeile:

application-prod.yml

ecm.server.useCustomSSLcontext: true server.balanced: <FQDN von enaio® servers, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht, einschließlich Port und Gewichtung>

Datei application-blue.yml von enaio® service-manager

Ergänzen Sie in der Datei application-blue.yml aus dem Verzeichnis \service-manager\config\ folgende Zeile:

application-blue.yml

enaio.dms.useCustomSSLcontext: true enaio.dms.server: <FQDN von enaio® server, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:<ServerPort>:<Gewichtung>

Datei config.properties von enaio® documentviewer

Ergänzen Sie in der Datei config.properties aus dem Verzeichnis \webapps\osrenditioncache\WEB-INF\classes\config von enaio® documentviewer folgende Zeile:

config.properties

session.useCustomSSLcontext = true rendition.restAddress = https://<FQDN von server wo DocumentViewer Service läuft, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:8070/renditionplus/rest/renCache server.balanced = <FQDN von enaio® servers, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:<ServerPort>:<Gewichtung>

Datei osrest.properties von enaio® appconnector

Ergänzen Sie in der Datei osrest.properties aus dem Verzeichnis \configuration von enaio® appconnector folgende Zeile:

osrest.properties

useCustomSSLcontext = true connection.string = <FQDN von enaio® server, der dem Alternativnamen (SAN) des Server-Zertifikats entspricht>:<ServerPort>:<Gewichtung>

 

Wenn Sie ein selbstsigniertes Zertifikat verwenden, fügen Sie das benutzerdefinierte CA-Stammzertifikat (das zum Signieren des Server-Zertifikats verwendet wird) zum Java KeyStore der folgenden Komponenten hinzu, sofern es sich vom Stammzertifikat unterscheidet, mit dem die Zertifikate dieser Komponenten signiert wurden:

  • enaio® gateway

  • enaio® service-manager

  • enaio® appconnector

  • enaio® documentviewer

Andernfalls wird das selbstsignierte Zertifikat nicht als vertrauenswürdig eingestuft. Bitte lesen Sie die entsprechenden Dokumentationsseiten im Abschnitt enaio® gateway (enaio 11.0 und älter) bzw. Serviceübergreifende Kommunikation (enaio 11.0 und älter).