安全证书
Analytics Exchange 安装要求 SSL 安全证书。默认情况下,会安装一份自签名安全证书,但是您可以使用第三方证书机构 (CA) 颁发的证书替换该默认证书。
工作原理
SSL 证书用于在客户端应用程序和 AX 服务器之间建立可信、安全、加密的连接。
自签署证书和 CA 发布证书都可确保在 AX 服务器和客户端应用程序之间传送的数据不能被第三方轻松访问。但是,当您购买 CA 证书后,您可以获得额外的信任,因为有独立、可信的证书颁发机构验证服务器的真实性。
将自签名证书用于 AX 服务器
如果选择使用自签名证书,访问服务器的每位用户将遇到警告页面,提示此安全证书未通过受信任的证书颁发机构颁发。要停止该警告,每个客户端用户必须执行如下操作,验证证书是由一家可信机构颁发的:
- 与 AX Web 客户端连接时在其浏览器中安装自签名的证书
- 安装期间或在 AX 客户端工具菜单中,选择相信自签名证书
提示
通常情况下,如果使用从 CA 购买的证书替换自签名证书,将不需要安装证书,因为 Internet Explorer 自动支持大多数 CA 颁发的证书。因此,使用一个 CA 证书可以改善最终用户与服务器的交互。
替换证书
要替换默认的自签名证书,您必须创建一个密钥库,导入证书,然后配置 TomEE 应用程序服务器以使用证书。要了解更多信息,请参考为 AX 服务器安装安全证书。
说明
在您替换自签名证书时,如果在安全证书变更中指定了通用名称 (CN),您必须在 aclCasClient.xml 配置文件中修改 cas.securityContext.casServerHost 属性以匹配安装了 Analytics Exchange 服务器组件的每台服务器上的 CN 值。
如果您使用集成的 Windows 身份验证且CN 值改变,还必须更新每个客户端计算机上的 Internet Explorer 设置。要了解更多信息,请参考配置集成式 Windows 验证。
AX 引擎节点证书
每个 AX 引擎节点上配置的证书用来对 AX 引擎节点和 Analytics Exchange 数据库之间的通信进行加密。
可使用从 CA 购买的证书替换自签名证书,但由于最终用户无法访问 AX 引擎节点,所以通常不需要替换证书。
PostgreSQL 连接
为 PostgreSQL 配置的证书用来对数据库服务器及连接数据库的任何 Analytics Exchange 服务器之间的通信加密:
- AX 服务器
- AX 引擎节点
- AX Exception
何时将 SSL 用于数据库连接
如果连接数据库的应用程序拥有开启的 SSL,则只能使用证书。由于与 SSL 有关的性能成本,如果不需要时应关闭。例如,如果 AX 服务器和 PostgreSQL 安装在相同计算机上,应对 AX 服务器上安装的组件关闭 SSL。
替换证书
安全证书由 PostgreSQL 安装向导在安装自签名证书期间创建。服务器证书必须适 SSL 连接工作,但证书中的特定信息(例如服务器名称)无效。因此,通常不需要使用 CA 颁发的证书替换自签名安全证书。
适用于 Analytics Exchange 的 ACL 连接器的连接
适用于 Analytics Exchange 的 ACL 连接器不需要 SSL 连接,但是如果您选择启用 SSL 连接,它将支持 SSL 加密。
连接器依赖于与 AX 服务器不同的技术和协议,因此不会使用加密其他 AX 服务器通信时所需的相同安全证书配置或工具集。
要支持 SSL 加密,必须使用 OpenSSL 在 AX 服务器计算机上生成并安装一组安全证书。启用 SSL 后,连接器使用 OpenSSL 加密通过网络连接传输的所有数据。
要了解更多信息,请参考为适用于 Analytics Exchange 的 ACL 连接器安装安全证书。
Analytics Exchange 14.1 服务器管理指南