本文的创建是为了将用于将FME服务器配置为具有.pfx证书的https/ssl的几个不同的信息源合并在一起。
目前有两种方法可以用pfx证书文件配置https/ssl。
笔记:
在以下条件为真时,已观察到使用.pfx配置SSL可以工作:
-导入到truststore/cacerts时,观察到它使用正确的pfx别名工作。为了找到这个,你可以打字keytool-v-list-storetype pkcs12-keystore.pfx文件
在命令提示下(同时在jre/bin文件夹中)
- PFX,tomcat.keystore和.cer保存在文件路径没有空格的位置(例如c:/temp/)。
1。作为管理员打开命令提示符并导航到Java bin目录
2。运行以下命令以创建新的密钥库文件:
keytool-importkeystore-srckeystore c:\temp\my_keystore.pfx-srcstoretype pkcs12-destkeystore c:\temp\tomcat.keystore-deststoretype jks
如果要将pkcs12作为目标密钥库类型,请使用:
keytool-importkeystore-srckeystore c:\temp\my_keystore.pfx-srcstoretype pkcs12-destkeystore c:\temp\tomcat.keystore-deststoretype pkcs12
您可能需要将参数keystoretype=“pkcs12”添加到server.xml文件中,在连接器标签中(在步骤4时)。
注意:这将要求输入源和目标密钥库密码。它们必须相同(使用.pfx密码)。
三。将新的密钥库文件复制到FME服务器安装中的tomcat目录:
4。修改ApacheTomcat的三个配置文件。所有三个文件(server.xml,Web.xmlcontext.xml)位于fme服务器安装目录中:
在编辑作为备份之前,可能需要创建这些文件的副本。
您可以在配置HTTPS文档.参见“第1节”。在Web应用服务器上启用SSL“>”配置Tomcat“。
5.完成中的步骤2-5配置HTTPS文档
6。尝试运行作业(示例>austinapartments.fmw)
如果成功,祝贺你!
如果作业未能提交,这可能是因为颁发证书的根证书颁发机构不包括在默认情况下在FME服务器的cacerts文件中列出的受信任根证书列表中。要将您的证书添加到可信列表中,请完成以下步骤:
7。检查Tomcat日志。
卡塔琳娜原木是一个很好的先看的地方,并且会让您知道配置是否有任何错误。如果没有警告或错误,检查本地主机日志。
如果localhost日志引用pkix路径生成错误,您可能需要完成以下几个步骤:
8。 从浏览器中导出.cer作为基础-64。
9.将新export.cer导入信任库(查看文章顶部的注释)
密钥工具-导入证书-信任证书-密钥库\实用程序\jre\lib\security\cacerts-storepass changeit-noprompt-alias
注:不需要-alias参数。如果您的证书没有一套,只需删除-别名
10。重新启动FME服务器服务并尝试运行作业。
现在应该为您提供一个使用https/ssl的运行中的FME服务器。
有关进一步的故障排除信息,请访问我们的故障排除指南。
1。从启用Web应用程序服务器上的SSL开始>从配置Tomcat文档.
2。编辑server.xml配置文件时,添加参数keystoretype=“pkcs12”,并将keystorefile值设置为.pfx。添加pfx密码作为keystorepass的值。
您的连接器标签如下所示:
clientAuth="false"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHa384,tls_rsa_与aes_128_cbc_sha256,tls_rsa_与aes_256_cbc_sha256,tls_rsa_与aes_128_cbc_sha,tls_rsa_与aes_256_cbc_sha,ssl_rsa_与3des_ede_cbc_sha”
uriencoding=“utf8”/>
三。返回到配置HTTPS文档继续执行步骤。
4。通过登录到FME服务器并从示例存储库运行一个作业来验证您的配置。如果测试成功,您已经完成了为SSL配置FME服务器。
如果作业未能提交,这可能是因为颁发证书的根证书颁发机构不包括在默认情况下在FME服务器的cacerts文件中列出的受信任根证书列表中。要将您的证书添加到可信列表中,请完成以下步骤:
5. 从浏览器中导出.cer作为基础-64。
6。将新export.cer导入信任库(查看文章顶部的注释)
密钥工具-导入证书-信任证书-密钥库\实用程序\jre\lib\security\cacerts-storepass changeit-noprompt-alias
注:不需要-alias参数。如果您的证书没有一套,只需删除-别名
7。重新启动FME服务器服务并尝试运行作业。
8。现在应该为您提供一个使用https/ssl的运行中的FME服务器。
有关进一步的故障排除信息,请访问我们的故障排除指南。
参考文献:
似乎我们不能使用与MongoDB读写器的TLS/SSL连接,正确的?
MongoDB日志文件:
[initandshillet]正在等待端口27017上的连接ssl[listener]从XXXXXX接受的连接:60097 1(1个连接现在打开)[conn1]从客户端接收请求时出错:sslhandshakefailed:服务器配置为仅允许ssl连接。从xxxx结束连接:60097(连接ID:1)[conn1]结束连接xxxx:60097(0个连接现在打开)
所以我希望在FME中使用MongoDB支持TLS/SSL…
我配置了一个ftpcaller并试图从ftp站点下载文件。我已经在运行此工作区的计算机上安装了证书。我收到一个错误,说明:
我在Filezilla(同一台机器)建立了一个站点,它工作得很好。有什么想法吗?高桥
你好,如果您想使用pfx文件为您的FME服务器配置HTTPS。
去配置页在tomcat配置中,读取并打开server.xml。
因此,必须添加此参数-->keystoretype=“pkcs12”,并修改此另一个参数keystorefile=“
这样地:
够了,继续教程管理并重新启动FME服务器,完成了
再见,埃里克
你好,我试图在FME服务器上运行JobHistoryStatisticsGathering工作区,但我在安全方面遇到了一些问题。尝试运行工作区时,日志中出现以下错误:
JobHistoryReader_httpCaller_2(httpFactory):http/ftp传输错误:“ssl连接错误”
JobHistoryReader_httpCaller_2(httpFactory):请确保正确设置网络连接
JobHistoryReader_httpCaller_2(httpFactory):未输入代理设置。如果需要代理来访问外部URL,请确保已输入适当的信息
我在安装服务器时启用了HTTPS,所以工作区最初尝试连接的URL是https:/服务器名:80/fmetoken/generate
我修改了jobHistoryReader组件中的http_调用者客户端参数,以根据提示关闭SSL证书验证
https://knowledge.亚搏在线safe.com/articles/55053/fme-server-troubleshooting-fme-server-dashboards.html
但它仍然不起作用。尝试在IE中导航到fmetoken/generate url会给出以下页面:
无法显示此页
打开TLS 1.0,高级设置中的TLS 1.1和TLS 1.2,并尝试连接到https://pri-fme-01.萨里yc.本地:80再一次。如果此错误仍然存在,此站点可能使用不受支持的协议或密码套件,如rc4(详细信息链接),请这是不安全的。请与网站管理员联系
有人知道可能出什么问题吗?我猜这与服务器上的SSL/TLS配置有关,但不确定连接工作需要什么
谢谢
亚当
我在跟踪FME服务器SSL配置在线描述的步骤。
首先,我必须将tomcat.keystore文件移到te tomcat根文件夹中。后来我被要求在tomcat server.xml中设置keystorefile路径:
密钥库=
将此参数的默认值设置为:
keystorefile=“tomcat.keystore”
在这种情况下,用户不再需要设置TE路径,只要将tomcat.keystore文件放在tomcat根文件夹中。当用户遵循手册时就是这样。
你好,
在让httpcaller获取SOAP调用证书进行身份验证时遇到了很多问题-花了很多时间尝试解决方法。
我不想沿着pythoncaller的路线前进,因为python库的问题可能会破坏SOAP调用。
然而,为什么在HTTPCaller Transformer中没有针对FME自己的Web服务的SSL配置????
https://docs.亚搏在线safe.com/fme/2016.0/html/fme_服务器_文档/content/adminguide/configuring_for_https.htm
FME服务器文档提供了配置SSL(HTTPS)的多步骤说明。步骤包括:需要将证书复制到特定位置,运行命令行工具,&编辑配置文件。由于各种原因,流程容易出现问题。通常,解决问题所需的技能超出了典型的FME服务器管理员,需要招聘IT人员,并可能需要安全支持部门的支持。亚搏在线
是否可以简化此配置?
通过减少这种类型配置的人机交互,问题会更少,并且对于FME服务器管理员来说会有更好的体验。
在安装了FME服务器之后,HTTPS正成为一种非常常见的配置调整。
在安装了FME服务器之后,HTTPS正成为一种非常常见的配置调整。
不久前,一个想法发布了:简化FME服务器SSL配置
我很想知道在为HTTPS(SSL)配置FME服务器时,FME服务器管理员经历了什么。这是为了更好地理解说明书,或者可以改进工具使其成为更好的体验。请访问上述想法并提出建议,或在此处传递您对问题和难题的评论。
这里有一个到https配置的链接供参考。文档
有没有一种使用SSL连接到MySQL服务器的方法?
我们正在与FME 2016 1.3.2合作,Windows版本。
你好,
我正在排除从htpcaller响应返回的错误,并希望在fiddler中查看事务。不过,我无法通过fiddler代理路由流量。
有人看到我丢失的东西了吗?
FME设置:
小提琴设置:
我还安装并信任fiddler根证书,并为正在运行的AppContainers添加了环回豁免。
来自httpCaller拒绝端口的结果:
(ps1)我应该补充一点,在这种情况下,httpCaller使用的是NTLM身份验证。我认为FME代理设置应该可以不进行授权,因为代理本身没有设置任何内容(fiddler)。但也尝试使用凭证,以防它们传递给调用者。
谢谢!
科里
能够创建到谷歌云SQL数据库的SSL连接。目前这不是一个选择,您无法添加/关联三个必需的文件。当然,一旦我们能在桌面上做到这一点,那么能够在FME云上使用这个连接信息就非常好了。
非SSL连接工作正常。
客户端密钥
客户端证书
授权证书
我有一个JMS发送器,它通过SSL与AMQ通信。
在AMQ日志上,我得到以下错误:
javax.net.ssl.sslhandshakeexception:收到致命警告:证书未知
感谢您的帮助。