FME服务器和HTTPS/SSL（.pfx证书）

本文的创建是为了将用于将FME服务器配置为具有.pfx证书的https/ssl的几个不同的信息源合并在一起。

目前有两种方法可以用pfx证书文件配置https/ssl。

笔记：

在以下条件为真时，已观察到使用.pfx配置SSL可以工作：

keytool-v-list-storetype pkcs12-keystore
       
        .pfx文件
       

在命令提示下（同时在jre/bin文件夹中）

- PFX，tomcat.keystore和.cer保存在文件路径没有空格的位置（例如c:/temp/）。

方法1-导入.pfx

1。作为管理员打开命令提示符并导航到Java bin目录 \实用程序\jre\bin\）

2。运行以下命令以创建新的密钥库文件：

keytool-importkeystore-srckeystore c:\temp\my_keystore.pfx-srcstoretype pkcs12-destkeystore c:\temp\tomcat.keystore-deststoretype jks

如果要将pkcs12作为目标密钥库类型，请使用：

keytool-importkeystore-srckeystore c:\temp\my_keystore.pfx-srcstoretype pkcs12-destkeystore c:\temp\tomcat.keystore-deststoretype pkcs12

您可能需要将参数keystoretype=“pkcs12”添加到server.xml文件中，在连接器标签中（在步骤4时）。

注意：这将要求输入源和目标密钥库密码。它们必须相同（使用.pfx密码）。

三。将新的密钥库文件复制到FME服务器安装中的tomcat目录： \实用程序\ Tomcat\。

4。修改ApacheTomcat的三个配置文件。所有三个文件（server.xml，Web.xmlcontext.xml）位于fme服务器安装目录中： \实用程序\tomcat\conf\。

在编辑作为备份之前，可能需要创建这些文件的副本。

您可以在配置HTTPS文档.参见“第1节”。在Web应用服务器上启用SSL“>”配置Tomcat“。

5.完成中的步骤2-5配置HTTPS文档

6。尝试运行作业（示例>austinapartments.fmw）
如果成功，祝贺你！

如果作业未能提交，这可能是因为颁发证书的根证书颁发机构不包括在默认情况下在FME服务器的cacerts文件中列出的受信任根证书列表中。要将您的证书添加到可信列表中，请完成以下步骤：

7。检查Tomcat日志。 \资源\日志\ Tomcat

卡塔琳娜原木是一个很好的先看的地方，并且会让您知道配置是否有任何错误。如果没有警告或错误，检查本地主机日志。

如果localhost日志引用pkix路径生成错误，您可能需要完成以下几个步骤：

8。 从浏览器中导出.cer作为基础-64。

9.将新export.cer导入信任库（查看文章顶部的注释）

密钥工具-导入证书-信任证书-密钥库
       
        \实用程序\jre\lib\security\cacerts-storepass changeit-noprompt-alias
        
         -文件
         
          神秘主义者
         
        
       

注：不需要-alias参数。如果您的证书没有一套，只需删除-别名 来自命令。

10。重新启动FME服务器服务并尝试运行作业。

现在应该为您提供一个使用https/ssl的运行中的FME服务器。

有关进一步的故障排除信息，请访问我们的故障排除指南。

方法2-直接引用.pfx

1。从启用Web应用程序服务器上的SSL开始>从配置Tomcat文档.

2。编辑server.xml配置文件时，添加参数keystoretype=“pkcs12”，并将keystorefile值设置为.pfx。添加pfx密码作为keystorepass的值。

您的连接器标签如下所示：

       
        clientAuth="false"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHa384，tls_rsa_与aes_128_cbc_sha256，tls_rsa_与aes_256_cbc_sha256，tls_rsa_与aes_128_cbc_sha，tls_rsa_与aes_256_cbc_sha，ssl_rsa_与3des_ede_cbc_sha”
        
uriencoding=“utf8”/>
        
       

三。返回到配置HTTPS文档继续执行步骤。

4。通过登录到FME服务器并从示例存储库运行一个作业来验证您的配置。如果测试成功，您已经完成了为SSL配置FME服务器。

如果作业未能提交，这可能是因为颁发证书的根证书颁发机构不包括在默认情况下在FME服务器的cacerts文件中列出的受信任根证书列表中。要将您的证书添加到可信列表中，请完成以下步骤：

5. 从浏览器中导出.cer作为基础-64。

6。将新export.cer导入信任库（查看文章顶部的注释）

密钥工具-导入证书-信任证书-密钥库
       
        \实用程序\jre\lib\security\cacerts-storepass changeit-noprompt-alias
        
         -文件
         
          神秘主义者
         
        
       

注：不需要-alias参数。如果您的证书没有一套，只需删除-别名 来自命令。

7。重新启动FME服务器服务并尝试运行作业。

8。现在应该为您提供一个使用https/ssl的运行中的FME服务器。

有关进一步的故障排除信息，请访问我们的故障排除指南。

参考文献：

[外部]使用FME服务器（Tomcat）上pfx文件中的ssl通配符证书

服务器管理指南-配置HTTP

为FME服务器配置https/ssl时的pkix路径问题

带pfx文件的fme服务器配置ssl

似乎我们不能使用与MongoDB读写器的TLS/SSL连接，正确的？

MongoDB日志文件：

[initandshillet]正在等待端口27017上的连接ssl[listener]从XXXXXX接受的连接：60097 1（1个连接现在打开）[conn1]从客户端接收请求时出错：sslhandshakefailed:服务器配置为仅允许ssl连接。从xxxx结束连接：60097（连接ID:1）[conn1]结束连接xxxx:60097（0个连接现在打开）

所以我希望在FME中使用MongoDB支持TLS/SSL…

我配置了一个ftpcaller并试图从ftp站点下载文件。我已经在运行此工作区的计算机上安装了证书。我收到一个错误，说明：

FTP错误

我在Filezilla（同一台机器）建立了一个站点，它工作得很好。有什么想法吗？高桥

你好，如果您想使用pfx文件为您的FME服务器配置HTTPS。

去配置页在tomcat配置中，读取并打开server.xml。

因此，必须添加此参数-->keystoretype=“pkcs12”，并修改此另一个参数keystorefile=“ \实用程序\tomcat\yourfile.pfx“keystorepass=” 他说：“这是一个很好的选择。”

这样地：

够了，继续教程管理并重新启动FME服务器，完成了

再见，埃里克

你好，我试图在FME服务器上运行JobHistoryStatisticsGathering工作区，但我在安全方面遇到了一些问题。尝试运行工作区时，日志中出现以下错误：

JobHistoryReader_httpCaller_2（httpFactory）：http/ftp传输错误：“ssl连接错误”
JobHistoryReader_httpCaller_2（httpFactory）：请确保正确设置网络连接
JobHistoryReader_httpCaller_2（httpFactory）：未输入代理设置。如果需要代理来访问外部URL，请确保已输入适当的信息

我在安装服务器时启用了HTTPS，所以工作区最初尝试连接的URL是https:/服务器名：80/fmetoken/generate

我修改了jobHistoryReader组件中的http_调用者客户端参数，以根据提示关闭SSL证书验证

https://knowledge.亚搏在线safe.com/articles/55053/fme-server-troubleshooting-fme-server-dashboards.html

但它仍然不起作用。尝试在IE中导航到fmetoken/generate url会给出以下页面：

无法显示此页

打开TLS 1.0，高级设置中的TLS 1.1和TLS 1.2，并尝试连接到https://pri-fme-01.萨里yc.本地：80再一次。如果此错误仍然存在，此站点可能使用不受支持的协议或密码套件，如rc4（详细信息链接），请这是不安全的。请与网站管理员联系

有人知道可能出什么问题吗？我猜这与服务器上的SSL/TLS配置有关，但不确定连接工作需要什么

谢谢

亚当

我在跟踪FME服务器SSL配置在线描述的步骤。

首先，我必须将tomcat.keystore文件移到te tomcat根文件夹中。后来我被要求在tomcat server.xml中设置keystorefile路径：

密钥库= \实用程序\tomcat\tomcat.keystore“

将此参数的默认值设置为：

keystorefile=“tomcat.keystore”

在这种情况下，用户不再需要设置TE路径，只要将tomcat.keystore文件放在tomcat根文件夹中。当用户遵循手册时就是这样。

你好，

在让httpcaller获取SOAP调用证书进行身份验证时遇到了很多问题-花了很多时间尝试解决方法。

我不想沿着pythoncaller的路线前进，因为python库的问题可能会破坏SOAP调用。

然而，为什么在HTTPCaller Transformer中没有针对FME自己的Web服务的SSL配置？？？？

https://docs.亚搏在线safe.com/fme/2016.0/html/fme_服务器_文档/content/adminguide/configuring_for_https.htm

FME服务器文档提供了配置SSL（HTTPS）的多步骤说明。步骤包括：需要将证书复制到特定位置，运行命令行工具，&编辑配置文件。由于各种原因，流程容易出现问题。通常，解决问题所需的技能超出了典型的FME服务器管理员，需要招聘IT人员，并可能需要安全支持部门的支持。亚搏在线

是否可以简化此配置？

• 在安装过程中，是否可以作为一种选择？（http https）
• 安装了FME服务器后，是否可以通过Web UI或某个向导来完成？
• 是否有方法测试配置并确定问题所在？
• 是否可以将https设为默认值？

通过减少这种类型配置的人机交互，问题会更少，并且对于FME服务器管理员来说会有更好的体验。

在安装了FME服务器之后，HTTPS正成为一种非常常见的配置调整。

在安装了FME服务器之后，HTTPS正成为一种非常常见的配置调整。

不久前，一个想法发布了：简化FME服务器SSL配置

我很想知道在为HTTPS（SSL）配置FME服务器时，FME服务器管理员经历了什么。这是为了更好地理解说明书，或者可以改进工具使其成为更好的体验。请访问上述想法并提出建议，或在此处传递您对问题和难题的评论。

这里有一个到https配置的链接供参考。文档

有没有一种使用SSL连接到MySQL服务器的方法？

我们正在与FME 2016 1.3.2合作，Windows版本。

你好，

我正在排除从htpcaller响应返回的错误，并希望在fiddler中查看事务。不过，我无法通过fiddler代理路由流量。

有人看到我丢失的东西了吗？

FME设置：

小提琴设置：

我还安装并信任fiddler根证书，并为正在运行的AppContainers添加了环回豁免。

来自httpCaller拒绝端口的结果：

（ps1）我应该补充一点，在这种情况下，httpCaller使用的是NTLM身份验证。我认为FME代理设置应该可以不进行授权，因为代理本身没有设置任何内容（fiddler）。但也尝试使用凭证，以防它们传递给调用者。

谢谢！

科里

能够创建到谷歌云SQL数据库的SSL连接。目前这不是一个选择，您无法添加/关联三个必需的文件。当然，一旦我们能在桌面上做到这一点，那么能够在FME云上使用这个连接信息就非常好了。

非SSL连接工作正常。

客户端密钥

客户端证书

授权证书

我有一个JMS发送器，它通过SSL与AMQ通信。

在AMQ日志上，我得到以下错误：

javax.net.ssl.sslhandshakeexception:收到致命警告：证书未知

感谢您的帮助。