Sicherheitszertifikate installieren

Installieren Sie ein Zertifikat einer Zertifizierungsstelle (CA), um das standardmäßig verwendete, selbstsignierte Zertifikat zu ersetzen, das die SSL-Verbindung zwischen dem AX Server und Client-Anwendungen sichert.

Tools und Vorwissen

Für diese Aufgabe ist der Einsatz der Keytool Utility von Oracle erforderlich, um Schlüssel und Zertifikate zu verwalten. Weitere Informationen zu der Keytool Utility finden Sie unter Oracle-Keytool-Dokumentation.

Um diese Aufgabe erfolgreich durchzuführen, sollte Ihnen der Umgang mit Sicherheitszertifikaten und Java KeyStore-Technologie bekannt sein:

• Sicherheitszertifikat Ein elektronisches Dokument, dass den Eigentum eines öffentlichen Schlüssels nachweist. Das Zertifikat enthält Informationen zu dem Schlüssel, der Identität des Eigentümers und die digitale Signatur einer Einheit, die verifiziert hat, dass die Inhalte des Zertifikats korrekt sind. Weitere Informationen finden Sie unter Sicherheitszertifikate
• Java KeyStore Ein Repositorium für Sicherheitszertifikate und entsprechende private Schlüssel, die für die SSL-Verschlüsselung verwendet wurden. Weitere Informationen finden Sie unter Oracle: Einen KeyStore erstellen

Sichern Sie die Konfiguration des TomEE-Anwendungsservers bevor Sie beginnen.

1. Innerhalb des Ordners, in dem Sie die Analytics-Exchange-Serveranwendung mit der zu ändernden Keystore-Konfiguration installiert haben, öffnen Sie im Windows Explorer den Unterordner TomCat\conf.
2. Kopieren Sie die Dateien conf\tomee.xml, conf\server.xml und conf\system.properties in einen sicheren Backup-Pfad.

   Falls während der Konfiguration des Sicherheitszertifikats Probleme auftreten, können Sie Ihre ursprüngliche Konfiguration wiederherstellen, indem Sie den Analytics-Exchange-Dienst beenden, diese Dateien wiederherstellen und den Dienst dann erneut starten.

Serverseitiger Prozess

Einen neuen Keystore erstellen

1. Öffnen Sie eine Eingabeaufforderung auf dem Server.
2. Verwenden Sie den folgenden Syntax, um den neuen Keystore zu erstellen:

   keytool -genkeypair -alias <alias> -keyalg RSA -keystore <keystore_filename>

3. Beantworten Sie jede der gestellten Fragen:

   Feld	Beispiel
   Wie lautet Ihr Vor- und Nachname? Anmerkung Für diese Frage müssen Sie den Hostnamen Ihrer AX-Server-Instanz eingeben.	axserver.ax.com
   Wie lautet Ihre Organisationseinheit?	Einkauf
   Wie lautet der Name Ihrer Organisation?	BeispielUnternehmen
   Wie lautet der Name Ihrer Stadt oder Ihres Standorts?	Cupertino
   Wie lautet der Name Ihres Staates oder Ihrer Provinz?	CA
   Wie lautet der zweibuchstabige Ländercode für diese Einheit?	US
   Ist <CN=axserver.ax.com, OU=Einkauf, O=BeispielUnternehmen, L=Cupertino, ST=CA, C=US> richtig?	j

   Drücken Sie die Eingabe-Taste, um dasselbe Kennwort wie für den Keystore zu verwenden oder geben Sie ein neues Kennwort ein und drücken Sie die Eingabe-Taste.

Generieren Sie einen Certificate Signing Request (CSR) in dem neuen Keystore

Falls Sie Ihr Sicherheitszertifikat von einer gewerblichen Zertifizierungsstelle wie VeriSign erworben haben, lesen Sie bitte die Dokumentation dieser Zertifizierungsstelle über die Konfigurierung Ihres Keystores. Erstellen Sie einen CSR mit der folgenden Syntax:

keytool -certreq -alias <alias> -keyalg RSA -file <csr_ausgabedatei> -keystore <keystore_dateiname>

Ergebnis Sie verfügen jetzt über eine Datei, die Sie zur Anforderung eines Zertifikats von einer Zertifizierungsstelle verwenden können.

Ihr CA-Zertifikat in den Keystore importieren

Wenn Ihr Zertifikat ein Format aufweist, das nicht in einen Keystore importiert werden kann, und wenn Sie es nicht in das PEM-Format konvertieren können, bitten Sie ACL Support Services, Ihnen bei der Konfiguration des Zertifikats in Tomcat zu helfen.

1. Je nach der verwendeten Zertifizierungsstelle müssen Sie unter Umständen ein Zwischenzertifikat und/oder ein Stammzertifikat importieren. Verwenden Sie den folgenden Syntax, um einen oder beide Zertifikate zu importieren:

   keytool -import -alias <alias> -keystore <keystore_filename> -trustcacerts -file <certificate_filename>

   Wenn Sie beide Zertifikate importieren, muss der angegebene Alias für jedes Zertifikat eindeutig sein. Sie müssen zuerst das Stammzertifikat importieren und dann den Befehl keytool erneut ausführen, um das Zwischenzertifikat zu importieren.

2. Verwenden Sie den folgenden Syntax, um Ihr Sicherheitszertifikat zu importieren:

   keytool -import -alias <alias> -keystore <keystore_filename> -trustcacerts -file <certificate_filename>

   Der angegebene Alias muss dem Wert entsprechen, den Sie während der Generierung des Keystore eingegeben haben. Das importierte Zertifikat ersetzt das im Keystore erstellte selbstsignierte Stammzertifikat.

3. Kopieren Sie die Keystore-Datei in den Unterordner App\keystores.

Konfigurieren Sie den TomEE Anwendungsserver, um das Zertifikat zu verwenden.

1. Gehen Sie zu der Datei server.xml in dem UnterordnerTomCat\conf und öffnen Sie diese in einem Texteditor.
2. Aktualisieren Sie die folgenden Einstellungen und speichern und schließen Sie anschließend die Datei server.xml:
   • keystoreDatei Der Name und Pfad der Keystore-Datei, die Sie in dem folgenden Format erstellt haben: C:\ACL\App\keystores\<ihr_keystore_name>
   • keystorePass Das Kennwort, dass Sie angegeben haben, als Sie den Keystore erstellt haben. Das Kennwort muss durch doppelte Anführungszeichen ('' '') umschlossen sein.
3. Gehen Sie zu der Datei system.properties in dem Unterordner TomCat\conf und öffnen Sie diese in einem Texteditor.
4. Aktualisieren Sie die folgenden Einstellungen und speichern und schließen Sie anschließen die Datei system.properties:
   • javax.net.ssl.trustStore Der Name und Pfad der Keystore-Datei, die Sie in dem folgenden Format erstellt haben: C:\ACL\App\keystores\<ihr_keystore_name>
   • javax.net.ssl.trustStorePassword Das Kennwort, dass Sie angegeben haben, als Sie den Keystore erstellt haben.
5. Starten Sie den Analytics-Exchange-Dienst neu.

Clientseitiger Prozess

Zertifikate in die Java-Cacerts-Datei des AX-Client-Rechners importieren

Diese Konfiguration muss auf jedem Endanwenderrechner durchgeführt werden, auf dem der AX Client installiert wurde, wenn Sie ein Zertifikat ohne ein Stammzertifikate in der Cacerts Datei verwenden (Standard).

1. Öffnen Sie den Windows-Explorer und gehen Sie zu der Cacerts-Datei. Diese befindet sich in dem Unterordner jre\lib\security des Ordners, in dem AX Client installiert ist.

   Der Standardpfad lautet C:\Programme(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security

2. Erstellen Sie eine Sicherungskopie, bevor Sie Änderungen vornehmen.
3. Je nach den Zertifikaten, die Sie von der Zertifizierungsstelle erhalten haben, müssen Sie unter Umständen ein Zwischenzertifikat und/oder ein Stammzertifikat in die Datei Cacerts importieren. Verwenden Sie den folgenden Syntax, um einen oder beide Zertifikate zu importieren:

   keytool -import -alias <alias> -keystore <cacerts_file> -trustcacerts -file <certificate_filename>

   Wenn Sie beide Zertifikate importieren, muss der angegebene Alias für jedes Zertifikat eindeutig sein.

4. Geben Sie in die Eingabeaufforderung Password das Kennwort für den Keystore ein und Drücken Sie die Eingabetaste.

   Das Standard-Java-Kennwort für die Cacerts Datei lautet changeit.

5. Geben Sie j in die Eingabeaufforderung Diesem Zertifikat vertrauen ein und drücken Sie die Eingabe-Taste.

Falls erforderlich, installieren Sie das Zertifikat im Browser eines jeden Computers, der auf Analytics-Exchange-Webanwendungen zugreifen wird.