配置HTTPS.

Note: ">笔记:这里描述的任务仅由高级用户进行。在继续之前,请考虑您的替代解决方案的选项,直到您确定您希望继续。有关其他资源,请咨询FME社亚搏国际在线官网区orFME支持

  • 技能等级: 先进的
  • 需要估计时间:45-60分钟
  • 先决条件
    • 测试作业和服务以确保FME服务器功能完全正常。有关更多信息,请参阅:

    • 熟悉证书提供商的证书颁发机构(CA)指令,特别是用于生成证书签名请求(CSR)。

    • (推荐)熟悉您的Web应用程序服务器的SSL配置和证书。(Apache Tomcat是servlet表示or容错安装of FME Server, and as an option with certain分散式安装。)
    • (Recommended) Access to the person who generates your certificates.

Note: ">笔记:If using Microsoft IIS Application Request Routing (ARR), refer to这个fme社区文章亚搏国际在线官网

配置HTTPS.

HTTPS确保客户端和服务器之间的通信加密,因此如果它被截获,第三方就无法轻易查看或使用该信息。您可以使用带有FME服务器的HTTPS来确保不暴露敏感的登录信息。

这following are two supported methods for securing FME Server with HTTPS. For alternative methods, such as using a self-signed certificate, see为HTTPS配置FME服务器在FME社区。亚搏国际在线官网

Note: ">笔记:以下说明提供了为Apache Tomcat设置SSL的步骤,它是包含的应用程序服务器表示or容错安装of FME Server, and as an option with certain分散式安装s. Instructions to set up SSL on different web application servers vary.

有关为HTTPS配置Apache Tomcat的详细信息,或者您使用的是使用不同版本的Apache Tomcat,请参阅版本的文档http://tomcat.apache.org/

Using a CA-issued Certificate

This method requires you to generate a certificate signing request from FME Server, which your IT team can use to create a CA certificate with the .cer or .crt extensions. If the certificate uses the .pfx extension, followUsing a PFX or P12 Certificate(下面)代替。

  1. 创建密钥库生成脚本

    2. 打开a text editor and copy the example script below, replacing the argument values with your own.

    Note: ">笔记:储存andkeypassarguments must be the same and at least 6 characters.

    keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias <alias>-dname "<dname.>“-storepass <储存> -keypass <.keypass> -EXT SAN =“<san>“--deststoreType pkcs12

    Argument

    描述
    Genkey. keytool程序命令生成新密钥库。
    noprompt.

    在命令中使用此参数删除与用户的任何交互。
    keyalg. 生成私有/公钥对的算法。

    keystore.

    		 密钥库文件名。
    deststoreType. 密钥库类型,PKCS12or杰克
    dname. 这CN name, Organization Unit, Organization, Location (city), State, and two-letter country code. The distinguished name is a set of values used to create the certificate and should be entered as you would like them to be presented to FME Server users and visitors.
    店铺,键盘 这密码of the key and keystore. The value must be a minimum of six characters and must be the same for both arguments.
    ext san 主题备用名称是一种结构化方式,以指示证书安全保护的所有域名和IP地址。
    alias 正在创建密钥库内的密钥的名称。

    例子:

    keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias tomcat -dname "CN=fmeserver.example.org, OU=support, O=SafeSoftware, L=Surrey, S=BC, C=CA" -storepass password1 -keypass password1 -ext san="dns:fmeserver.example.org,dns:fmeserver" -deststoretype pkcs12

  2. 跑步the Keystore Generation Script
    1. 以管理员身份打开命令提示符并导航到FME Server安装Java Bin目录:

      2. CD <Fmeserverdir.> \ Utilities \ Jre \ Bin \

      在哪里<Fmeserverdir.>is the location of the FME Server installation folder.

    2. Execute the command created in step 1.
  3. 生成证书签名请求(CSR)

    4. 在命令提示符中,保留在<Fmeserverdir.> \ Utilities \ Jre \ Bin \and run:

    Keytool - Cerrtreq -keyalg RSA -Alias <alias> - 文件<文件名>-keystore tomcat.keystore

    Specify the certificate signing request path and filename, and update the alias to match that set in step 1.

    例子:

    keytool -certreq -keyalg rsa -alias tomcat -file certreq.csr -keystore tomcat.keystore

  4. 获得证书

    5. Submit the CSR (for example, certreq.csr) generated in step 3 to your CA to obtain a certificate, according to your CA's instructions.

  5. 将证书导入密钥库

    6. 如果您有多个证书,请按以下顺序安装它们,并务必更新每个订单的别名和证书路径。

    1. 导入根证书(如果您有一个):

      2. keytool -import -alias根 - keystore tomcat.keystore -trustcacerts -file <path / certificate_filename.>

    2. 导入中间证书(如果您有一个):

      3. Keytool -import -alias中间体-keystore tomcat.keystore -TrustCacerts -file <path / certificate_filename.>

    3. Import the certificate:

      4. keytool进口别名tomcat keystore tomcat.keystore -trustcacerts -file <path / certificate_filename.>

  6. Import the Keystore into FME Server's trusted certs

    7. In a command prompt, from <Fmeserverdir.> \ utilities \ jre \ bin \,使用以下命令将密钥库导入FME服务器的可信证书,指定srcstorepass.从步骤1中的密码参数。

    keytool -importkeystore -noprompt -srckeystore tomcat.keystore -destkeystore "<Fmeserverdir.> \ utilities \ jre \ lib \ security \ cacerts“-deststorepass chanceit -srcstorepass <密码>

    Note: ">笔记:忽略目标类型必须默认为JK的警告。

  7. 备份Tomcat XML配置文件

    8. 导航到 \ militeres \ tomcat \ conf并备份server.xml,web.xml和context.xml备份。我们建议这一步骤让您可以在必要时轻松恢复配置。

  8. 配置server.xml.
    1. 将文本编辑器作为管理员和Server.xml运行,位于<Fmeserverdir.> \ \ utilities \ tomcat \ conf。
    2. 找到SSLEngine设置在<听众>元素,包括classname =“org.apache.catalina.core.aprlifecyclelistener”and change the“上”价值"off"
    3. 找到<连接器>包含的元素协议=“org.apache.coyote.http11.http11nioproprocol”并替换整个元素:

      4. Copy 
      港口="443"
      minSpareThreads="5"
      EnableLookups =“真实”
      disableuploadtimeout =“true”
      AccountCount =“100”
      maxthreads =“200”
      maxhttpheadersize =“16384”
      方案=“https”
      secure =“true”
      sslenabled =“true”
      keystore.File=""
      keystorepass =“
      clientAuth =“false”sslenabledprotocols =“tlsv1.1,tlsv1.2”
      sslimplementationname =“org.apache.tomcat.util.net.jsse.jsseimplementation”
      密码= “TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA”
      Uriencoding =“UTF8”/>

      确保更新keystore.Fileandkeystorepass.在步骤1中设置密钥库位置和密码的参数。有关示例,请参阅此服务器.xml参考

    4. (可选)更改HTTPS通信的端口,更改4.4.3.到所需的端口,对于两者来说港口andredirectport.指令。
    5. 保存并关闭server.xml文件。
  9. Configure web.xml
    1. 打开web.xml,位于<Fmeserverdir.> \ \ utilities \ tomcat \ conf。
    2. 在关闭之前,将以下代码块添加到文件的末尾元素:

      3. httpsonly

      /*

      <用户数据约束>

      <运输保证>机密

    3. 保存并关闭Web.xml文件。
  10. 配置context.xml.
    1. 打开context.xml, located in <Fmeserverdir.> \ \ utilities \ tomcat \ conf。
    2. 在关闭之前将以下添加到文件的末尾元素:

    3. Save and close the context.xml file.
  11. 更新FME服务器Web URL以使用HTTPS

    12. 一种。以管理员身份运行文本编辑器并打开fmeserverconfig.txt.

    湾更新FME_SERVER_WEB_URL通过改变指令http.https.and change the port to the same one specified in step 8.

    C。保存并关闭文件。

  12. 验证HTTPS配置
    1. 重新开始FME Server.
    2. 打开Web浏览器并导航到HTTPS:// localhost /。如果将Tomcat配置为使用除标准端口443以外的端口,还指定端口(https:// localhost:<港口>).
    3. You should see the FME Server login page in a secured format.
  13. Modify Service URLs to Use HTTPS

    14. 要通过HTTPS在FME服务器上提交作业,必须启用SSLFME服务器Web服务

    1. 在FME服务器Web用户界面中,打开服务页。
    2. 点击改变所有主机and, in theURL模式领域,改变http.https.。(FME Server may have already set this change.) If required, modify the port number—typically SSL is configured on either port 8443 or 443. When finished, clickOK
    3. 跑步具有数据下载和作业提交者服务的示例工作空间,以确认您的FME服务器正在使用HTTPS。

    您的FME服务器现在配置为通过HTTPS工作。但是,如果您使用的是WebSocket服务器or集成Windows身份验证,需要一些额外的步骤。

  14. (Optional) Enable SSL on the WebSocket Server

    15. FME服务器WebSocket服务器支持不安全(WS://)或安全连接(WSS://)。仅在您要使用WebSocket服务器或使用WebSocket服务器时才需要此配置主题监控(遗产)。

    1. 将文本编辑器作为管理员身份运行,并在FME服务器安装目录中打开FMeweBsocketConfig.txt文件(<Fmeserverdir.>\Server).
    2. WEBSOCKET_ENABLE_SSL=true
    3. Uncomment theWebSocket_KeyStore_File_Path.directive and set it to reference the keystore file set in server.xml in step 8. For example:

      4. WebSocket_KeyStore_file_path = <Fmeserverdir.> //tomccat/tomcat.keystore.

      Note: ">笔记:使用正斜杠,可能与server.xml中的路径不同。

    4. Uncomment theWEBSOCKET_KEYSTORE_FILE_PASSWORDdirective and set it to reference the keystore file password set in server.xml in step 8. For example:

      5. WebSocket_KeyStore_file_password = password1.

      Note: ">笔记:请勿将密码括起引号。

    5. 指定WebSocket_enable_ssl,Websocket_keystore_file_path和Websocket_keyStore_file_password指令的相同设置:
      • <Fmeserverdir.> \ server \ config \ subscribers \ websocket.properties
      • <Fmeserverdir.> \ server \ config \ puppishers \ websocket.properties
    6. 在以下文件中,更新协议valueproperty of the财产指令从“WS:”“WSS:”
      • <FmesharedResourcedir.> \ localization \ publishers \ websocket \ publisherproperties.xml
      • <FmesharedResourcedir.> \本地化\订阅者\ WebSocket \ subscriberProperties.xml

        • Note: ">笔记:<FmesharedResourcedir.>指的是FME服务器系统共享的位置,指定期间安装

    7. 运行以下.bat文件,位于<Fmeserverdir.> \客户\实用程序:
      • addpublishers.bat.bat.
      • addsubscribers.bat.
    8. 重新开始FME Server.
    9. To test that the configuration is complete,run jobs和景色主题监控
  15. (可选)更新SSO身份验证URL以使用HTTPS

    16. Note: ">笔记:此步骤仅适用于您想要使用集成Windows身份验证(单点登录)访问FME服务器Web界面。

    1. 将文本编辑器作为管理员身份运行,并打开位于Fmeserverdir.> \ umerities \ tomcat \ webapps \ fmeserver \ web-inf \ conf \。
    2. 找到single_sign_on_auth_url.参数,并更新URL的主机名和端口部分以匹配访问FME服务器Web用户界面的主机名。

      3. For example:

      single_sign_on_auth_url = https:// <myfmeserverhost.>:443 / fomeNodeN / SSO /生成

Using a PFX or P12 Certificate

使用这些说明使用从证书颁发机构(CA)中获取的.pfx或.p12证书来为HTTPS配置FME服务器。如果您没有证书,请按照说明进行操作Using a CA-issued Certificate(上文)代替。

  1. 将PFX密钥库导入FME服务器密钥库
    1. 打开命令提示符作为管理员,并导航到FME Server安装Java Bin目录:

      2. CD <Fmeserverdir.> \ Utilities \ Jre \ Bin \

      Note: ">笔记:<Fmeserverdir.>是指FME服务器安装文件夹的位置,指定期间安装

    2. 运行以下命令以将新密钥库文件创建到更新的PFX路径和文件名:

      3. keytool -importkeystore -srckeystore <证明> \ <certificate_name.>。pfx -srcstoretype pkcs12 -destkeystore tomcat.keystore -deststoretype pkcs12

    3. You are prompted for the source and destination keystore password. These must be the passwords provided with the PFX, and must both be the same.
  2. 备份Tomcat XML配置文件

    3. 去<Fmeserverdir.> \ umerities \ tomcat \ conf并制作server.xml,web.xml和context.xml的备份。

  3. 配置server.xml.
    1. 将文本编辑器作为管理员和Server.xml运行,位于<Fmeserverdir.> \ \ utilities \ tomcat \ conf。
    2. 找到SSLEngine设置在<听众>元素,包括classname =“org.apache.catalina.core.aprlifecyclelistener”and change the“上”价值"off"
    3. 找到<连接器>包含的元素协议=“org.apache.coyote.http11.http11nioproprocol”并替换整个元素:

      4. Copy 
      港口="443"
      minSpareThreads="5"
      EnableLookups =“真实”
      disableuploadtimeout =“true”
      AccountCount =“100”
      maxthreads =“200”
      maxhttpheadersize =“16384”
      方案=“https”
      secure =“true”
      sslenabled =“true”
      keystore.File=""
      keystorepass =“
      clientAuth =“false”sslenabledprotocols =“tlsv1.1,tlsv1.2”
      sslimplementationname =“org.apache.tomcat.util.net.jsse.jsseimplementation”
      密码= “TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA”
      Uriencoding =“UTF8”/>

      确保更新keystore.Fileandkeystorepass.在步骤1中设置密钥库位置和密码的参数。有关示例,请参阅此服务器.xml参考

    4. (可选)更改HTTPS通信的端口,更改4.4.3.到所需的端口,对于两者来说港口andredirectport.指令。
    5. 保存并关闭server.xml文件。
  4. Configure web.xml
    1. 打开web.xml,位于<Fmeserverdir.> \ \ utilities \ tomcat \ conf。
    2. 在关闭之前,将以下代码块添加到文件的末尾元素:

      3. httpsonly

      /*

      <用户数据约束>

      <运输保证>机密

    3. 保存并关闭Web.xml文件。
  5. 配置context.xml.
    1. 打开context.xml, located in <Fmeserverdir.> \ \ utilities \ tomcat \ conf。
    2. 在关闭之前将以下添加到文件的末尾元素:

    3. Save and close the context.xml file.
  6. 更新FME服务器Web URL以使用HTTPS

    7. 一种。以管理员身份运行文本编辑器并打开fmeserverconfig.txt.

    湾更新FME_SERVER_WEB_URL通过改变指令http.https.并将端口更改为步骤3中指定的端口。

    C。保存并关闭文件。

  7. Export the certificate from the browser in base 64 format and import it into the cacerts trust store

    8. Note: ">笔记:指令可能在Chrome以外的浏览器中略有不同。

    一种。重新启动FME服务器应用程序服务器服务

    湾打开a browser and navigate to https://localhost/. If you configured Tomcat to use a port other than the standard port 443, also specify the port (https://localhost:<港口> ;;)。

    C。View the certificate from the browser.

    天。打开细节然后点击复制到文件

    e。另存为Base-64 encoded X.509 (CER)到本地磁盘(例如<证明> \ mycert.Cer.)

    F。将密钥库导入FME服务器的可信证书

    在命令提示符中<Fmeserverdir.> \ Utilities \ Jre \ Bin \, use the following command to import the keystore into FME Server’s trusted certs:

    keytool -import -TrustCacerts -KeyStore <Fmeserverdir.> \ Utilities \ Jre \ lib \ security \ cacerts -storepass changeit -noprompt -file <证明> \ mycert.Cer.

  8. 验证HTTPS配置
    1. 重新开始FME Server.
    2. 打开Web浏览器并导航到HTTPS:// localhost /。如果将Tomcat配置为使用除标准端口443以外的端口,还指定端口(https:// localhost:<港口>).
    3. You should see the FME Server login page in a secured format.
  9. Modify Service URLs to Use HTTPS

    10. 要通过HTTPS在FME服务器上提交作业,必须启用SSLFME服务器Web服务

    1. 在FME服务器Web用户界面中,打开服务页。
    2. 点击改变所有主机and, in theURL模式领域,改变http.https.。(FME Server may have already set this change.) If required, modify the port number—typically SSL is configured on either port 8443 or 443. When finished, clickOK
    3. 跑步具有数据下载和作业提交者服务的示例工作空间,以确认您的FME服务器正在使用HTTPS。

    您的FME服务器现在配置为通过HTTPS工作。但是,如果您使用的是WebSocket服务器or集成Windows身份验证,需要一些额外的步骤。

  10. (Optional) Enable SSL on the WebSocket Server

    11. FME服务器WebSocket服务器支持不安全(WS://)或安全连接(WSS://)。仅在您要使用WebSocket服务器或使用WebSocket服务器时才需要此配置主题监控(遗产)。

    1. 将文本编辑器作为管理员身份运行,并在FME服务器安装目录中打开FMeweBsocketConfig.txt文件(<Fmeserverdir.>\Server).
    2. WEBSOCKET_ENABLE_SSL=true
    3. Uncomment theWebSocket_KeyStore_File_Path.指令并将其设置为在步骤3中引用server.xml中的密钥库文件集。例如:

      4. WebSocket_KeyStore_file_path = <Fmeserverdir.> //tomccat/tomcat.keystore.

      Note: ">笔记:使用正斜杠,可能与server.xml中的路径不同。

    4. Uncomment theWEBSOCKET_KEYSTORE_FILE_PASSWORD指令并将其设置为在步骤3中引用server.xml中设置的密钥库文件密码。例如:

      5. WebSocket_KeyStore_file_password = password1.

      Note: ">笔记:请勿将密码括起引号。

    5. 指定WebSocket_enable_ssl,Websocket_keystore_file_path和Websocket_keyStore_file_password指令的相同设置:
      • <Fmeserverdir.> \ server \ config \ subscribers \ websocket.properties
      • <Fmeserverdir.> \ server \ config \ puppishers \ websocket.properties
    6. 在以下文件中,更新协议valueproperty of the财产指令从“WS:”“WSS:”
      • <FmesharedResourcedir.> \ localization \ publishers \ websocket \ publisherproperties.xml
      • <FmesharedResourcedir.> \本地化\订阅者\ WebSocket \ subscriberProperties.xml

        • Note: ">笔记:<FmesharedResourcedir.>指的是FME服务器系统共享的位置,指定期间安装

    7. 运行以下.bat文件,位于<Fmeserverdir.> \客户\实用程序:
      • addpublishers.bat.bat.
      • addsubscribers.bat.
    8. 重新开始FME Server.
    9. To test that the configuration is complete,run jobs和景色主题监控
  11. (可选)更新SSO身份验证URL以使用HTTPS

    12. Note: ">笔记:此步骤仅适用于您想要使用集成Windows身份验证(单点登录)访问FME服务器Web界面。

    1. 将文本编辑器作为管理员身份运行,并打开位于Fmeserverdir.> \ umerities \ tomcat \ webapps \ fmeserver \ web-inf \ conf \。
    2. 找到single_sign_on_auth_url.参数,并更新URL的主机名和端口部分以匹配访问FME服务器Web用户界面的主机名。

      3. For example:

      single_sign_on_auth_url = https:// <myfmeserverhost.>:443 / fomeNodeN / SSO /生成

也可以看看