Sicherheitszertifikate für AX Server installieren

Installieren Sie ein Zertifikat einer Zertifizierungsstelle (CA), um das standardmäßig verwendete, selbstsignierte Zertifikat zu ersetzen, das die SSL-Verbindung zwischen dem AX Server und Client-Anwendungen sichert.

Tools und Vorwissen

Für diese Aufgabe ist der Einsatz der Keytool Utility von Oracle erforderlich, um Schlüssel und Zertifikate zu verwalten. Weitere Informationen zu der Keytool Utility finden Sie unter Oracle-Keytool-Dokumentation.

Um diese Aufgabe erfolgreich durchzuführen, sollte Ihnen der Umgang mit Sicherheitszertifikaten und Java KeyStore-Technologie bekannt sein:

  • Sicherheitszertifikat Ein elektronisches Dokument, dass den Eigentum eines öffentlichen Schlüssels nachweist. Das Zertifikat enthält Informationen zu dem Schlüssel, der Identität des Eigentümers und die digitale Signatur einer Entität, die verifiziert hat, dass die Inhalte des Zertifikats korrekt sind. Weitere Informationen finden Sie unter Sicherheitszertifikate
  • Java KeyStore Ein Repositorium für Sicherheitszertifikate und entsprechende private Schlüssel, die für die SSL-Verschlüsselung verwendet wurden. Weitere Informationen finden Sie unter Oracle: Einen KeyStore erstellen

Sichern Sie die Konfiguration des TomEE-Anwendungsservers bevor Sie beginnen

  1. Innerhalb des Ordners, in dem Sie die Analytics-Exchange-Serveranwendung mit der zu ändernden Keystore-Konfiguration installiert haben, öffnen Sie im Windows Explorer den Unterordner TomCat\conf.
  2. Kopieren Sie die Dateien conf\tomee.xml, conf\server.xml und conf\system.properties in einen sicheren Backup-Pfad.

    Falls während der Konfiguration des Sicherheitszertifikats Probleme auftreten, können Sie Ihre ursprüngliche Konfiguration wiederherstellen, indem Sie den ACL Analytics Exchange Dienst beenden, diese Dateien wiederherstellen und den Dienst dann erneut starten.

Serverseitiger Prozess

Tipp

Fügen Sie das Java-Unterverzeichnis bin der Umgebungsvariable OS PATH hinzu, sodass sie den Befehl KEYTOOL verwenden können, ohne den vollständigen Pfad angeben zu müssen. Um das Unterverzeichnis dem Pfad für die laufende Sitzung hinzuzufügen, geben Sie den Befehl Set PATH=<Java_bin_Pfad>;%PATH% ein.

Wenn Sie eine PFX-Zertifikatsdatei verwenden, können Sie sie in einen Keystore mit privatem Schlüssel konvertieren. Verwenden Sie dazu einen KEYTOOL-Befehl:

keytool -importkeystore -srckeystore IhrePFXDatei.pfx -srcstoretype pkcs12 -destkeystore cientcert.jks -deststoretype JKS

Einen neuen Keystore erstellen

  1. Öffnen Sie eine Eingabeaufforderung auf dem Server.
  2. Verwenden Sie die folgende Syntax, um einen neuen Keystore zu erstellen:

    keytool -genkeypair -alias <Alias> -keyalg RSA -keystore <Keystore_Dateiname>

    Beispiel keytool -genkeypair -alias AX_store -keyalg RSA -keystore myAxKeystore

  3. Beantworten Sie jede der gestellten Fragen:
    FeldBeispiel
    Wie lautet Ihr Vor- und Nachname?

    Hinweis

    Für diese Frage müssen Sie den Hostnamen Ihrer AX-Server-Instanz eingeben.

    axserver.ax.com
    Wie lautet Ihre Organisationseinheit?Einkauf
    Wie lautet der Name Ihrer Organisation?BeispielUnternehmen
    Wie lautet der Name Ihrer Stadt oder Ihres Standorts?Cupertino
    Wie lautet der Name Ihres Staates oder Ihrer Provinz?CA
    Wie lautet der Ländercode für diese Einheit (zwei Buchstaben)?US
    Ist <CN=axserver.ax.com, OU=Einkauf, O=BeispielUnternehmen, L=Cupertino, ST=CA, C=US> richtig?j

    Drücken Sie die Eingabe-Taste, um dasselbe Kennwort wie für den Keystore zu verwenden oder geben Sie ein neues Kennwort ein und drücken Sie die Eingabe-Taste.

Generieren Sie einen Certificate Signing Request (CSR) in dem neuen Keystore

Hinweis

Überspringen Sie diesen Abschnitt, wenn Sie ein vorhandenes Zertifikat verwenden.

Falls Sie Ihr Sicherheitszertifikat von einer gewerblichen Zertifizierungsstelle wie VeriSign erworben haben, lesen Sie bitte die Dokumentation dieser Zertifizierungsstelle über die Konfigurierung Ihres Keystores. Erstellen Sie einen CSR mit der folgenden Syntax:

keytool -certreq -alias <Alias> -keyalg RSA -file <CSR_Ausgabedatei> -keystore <Keystore_Dateiname>

Ergebnis Sie verfügen jetzt über eine Datei, die Sie zur Anforderung eines Zertifikats von einer Zertifizierungsstelle verwenden können.

Ihr CA-Zertifikat in den Keystore importieren

Wenn Ihr Zertifikat ein Format wie PKCS12 aufweist, das nicht in einen Keystore importiert werden kann, und wenn Sie es nicht in das PEM-Format konvertieren können, bitten Sie den Support, Ihnen bei der Konfiguration des Zertifikats in Tomcat zu helfen.

  1. Je nach der verwendeten Zertifizierungsstelle müssen Sie unter Umständen ein Zwischenzertifikat und/oder ein Stammzertifikat importieren. Verwenden Sie den folgenden Syntax, um einen oder beide Zertifikate zu importieren:

    keytool -import -alias <alias> -keystore <keystore_filename> -trustcacerts -file <certificate_filename>

    Wenn Sie beide Zertifikate importieren, muss der angegebene Alias für jedes Zertifikat eindeutig sein. Sie müssen zuerst das Stammzertifikat importieren und dann den Befehl keytool erneut ausführen, um das Zwischenzertifikat zu importieren.

  2. Verwenden Sie den folgenden Syntax, um Ihr Sicherheitszertifikat zu importieren:

    keytool -import -alias <alias> -keystore <keystore_filename> -trustcacerts -file <certificate_filename>

    Der angegebene Alias muss dem Wert entsprechen, den Sie während der Generierung des Keystore eingegeben haben. Das importierte Zertifikat ersetzt das im Keystore erstellte selbstsignierte Stammzertifikat.

  3. Kopieren Sie die Keystore-Datei in den Unterordner App\keystores.

Konfigurieren Sie den TomEE Anwendungsserver, um das Zertifikat zu verwenden.

  1. Gehen Sie zur Datei server.xml in dem UnterordnerTomCat\conf und öffnen Sie diese in einem Texteditor.
  2. Aktualisieren Sie die folgenden Einstellungen und speichern sowie schließen Sie danach server.xml:
    • keystoreFile Name und Pfad der von Ihnen erstellten Keystore-Datei im folgenden Format: C:\ACL\App\keystores\<Ihr_Keystore_Name>
    • keystorePass das Kennwort für den von Ihnen erstellten Keystore. Das Kennwort muss durch doppelte Anführungszeichen ('' '') umschlossen sein.
  3. Gehen Sie zur Datei system.properties im Unterordner TomCat\conf und öffnen Sie diese in einem Texteditor.
  4. Aktualisieren Sie die folgenden Einstellungen und speichern sowie schließen Sie danach system.properties:
    • javax.net.ssl.trustStore Name und Pfad der von Ihnen erstellten Keystore-Datei im folgenden Format: C:/ACL/App/keystores/<Ihr_Keystore-Name>

      Hinweis

      Sie müssen im Keystore-Pfad den Schrägstrich „/“ verwenden. Wenn Sie wie unter Windows üblich den umgekehrten Schrägstrich „\“ verwenden, werden beim Anmelden Serverfehler auftreten.

    • javax.net.ssl.trustStorePassword das Kennwort für den von Ihnen erstellten Keystore.
  5. Starten Sie den ACL Analytics Exchange Dienst neu.

Clientseitiger Prozess

Zertifikate in die Java-Cacerts-Datei des AX-Client-Rechners importieren

Diese Konfiguration muss auf jedem Endbenutzerrechner durchgeführt werden, auf dem der AX Client installiert wurde, wenn Sie ein Zertifikat ohne ein Stammzertifikate in der Cacerts Datei verwenden (Standard).

  1. Öffnen Sie den Windows-Explorer und gehen Sie zu der Cacerts-Datei. Diese befindet sich in dem Unterordner jre\lib\security des Ordners, in dem AX Client installiert ist.

    Der Standardpfad lautet C:\Programme(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security.

  2. Erstellen Sie eine Sicherungskopie, bevor Sie Änderungen vornehmen.
  3. Je nach den Zertifikaten, die Sie von der Zertifizierungsstelle erhalten haben, müssen Sie unter Umständen ein Zwischenzertifikat und/oder ein Stammzertifikat in die Datei cacerts importieren. Verwenden Sie den folgenden Syntax, um einen oder beide Zertifikate zu importieren:

    keytool -import -alias <alias> -keystore <cacerts_file> -trustcacerts -file <certificate_filename>

    Wenn Sie beide Zertifikate importieren, muss der angegebene Alias für jedes Zertifikat eindeutig sein.

  4. Geben Sie in die Eingabeaufforderung Password das Kennwort für den Keystore ein und drücken Sie die Eingabetaste.

    Das Standard-Java-Kennwort für die Cacerts-Datei lautet changeit.

  5. Geben Sie j in die Eingabeaufforderung Diesem Zertifikat vertrauen? ein und drücken Sie die Eingabe-Taste.

Falls erforderlich, installieren Sie das Zertifikat im Browser eines jeden Computers, der auf Analytics-Exchange-Webanwendungen zugreifen wird.

Hinweis

Dies ist nicht notwendig, wenn das Zertifikat durch eine Zertifizierungsstelle zur Verfügung gestellt wurde, die sich in der Liste vertrauenswürdiger Stammzertifizierungsstellen im Internet Explorer befindet. In dieser Liste sind große gewerbliche Zertifizierungsstellen, wie z.B. VeriSign, enthalten.