FME服务器和HTTPS/SSL（.pfx证书）

本文的创建是为了将用于将FME服务器配置为具有.pfx证书的https/ssl的几个不同的信息源合并在一起。

目前有两种方法可以用pfx证书文件配置https/ssl。

笔记：

在以下条件为真时，已观察到使用.pfx配置SSL可以工作：

keytool-v-list-storetype pkcs12-keystore
       
        PFX
       

在命令提示下（同时在jre/bin文件夹中）

- PFX，tomcat.keystore和.cer保存在文件路径没有空格的位置（例如c:/temp/）。

方法1-导入.pfx

1。作为管理员打开命令提示符并导航到Java bin目录 \实用程序\jre\bin\）

2。运行以下命令以创建新的密钥库文件：

keytool-importkeystore-srckeystore c:\temp\my_keystore.pfx-srcstoretype pkcs12-destkeystore c:\temp\tomcat.keystore-deststoretype jks

如果要将pkcs12作为目标密钥库类型，请使用：

keytool-importkeystore-srckeystore c:\temp\my_keystore.pfx-srcstoretype pkcs12-destkeystore c:\temp\tomcat.keystore-deststoretype pkcs12

您可能需要将参数keystoretype=“pkcs12”添加到server.xml文件中，在连接器标签中（在步骤4时）。

注意：这将要求输入源和目标密钥库密码。它们必须相同（使用.pfx密码）。

三。将新的密钥库文件复制到FME服务器安装中的tomcat目录： \实用程序\ Tomcat\。

4。修改ApacheTomcat的三个配置文件。所有三个文件（server.xml，Web.xmlcontext.xml）位于fme服务器安装目录中： \实用程序\tomcat\conf\。

在编辑作为备份之前，可能需要创建这些文件的副本。

您可以在配置HTTPS文档.参见“第1节”。在Web应用服务器上启用SSL“>”配置Tomcat“。

5。完成中的步骤2-5配置HTTPS文档

6。尝试运行作业（示例>austinapartments.fmw）
如果成功，祝贺你！

如果作业未能提交，这可能是因为颁发证书的根证书颁发机构不包括在默认情况下在FME服务器的cacerts文件中列出的受信任根证书列表中。要将您的证书添加到可信列表中，请完成以下步骤：

7。检查Tomcat日志。 \资源\日志\ Tomcat

卡塔琳娜原木是一个很好的先看的地方，并且会让您知道配置是否有任何错误。如果没有警告或错误，检查本地主机日志。

如果localhost日志引用pkix路径生成错误，您可能需要完成以下几个步骤：

8。 从浏览器中导出.cer作为基础-64。

9。将新export.cer导入信任库（查看文章顶部的注释）

密钥工具-导入证书-信任证书-密钥库
       
        \实用程序\jre\lib\security\cacerts-storepass changeit-noprompt-alias
        
         -文件
         
          神秘主义者
         
        
       

注：不需要-alias参数。如果您的证书没有一套，只需删除-别名 来自命令。

10。重新启动FME服务器服务并尝试运行作业。

现在应该为您提供一个使用https/ssl的运行中的FME服务器。

有关进一步的故障排除信息，请访问我们的故障排除指南。

方法2-直接引用.pfx

1。从启用Web应用程序服务器上的SSL开始>从配置Tomcat文档.

2。编辑server.xml配置文件时，添加参数keystoretype=“pkcs12”，并将keystorefile值设置为.pfx。添加pfx密码作为keystorepass的值。

您的连接器标签如下所示：

       
        clientAuth="false"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHa384，tls_rsa_与aes_128_cbc_sha256，tls_rsa_与aes_256_cbc_sha256，tls_rsa_与aes_128_cbc_sha，tls_rsa_与aes_256_cbc_sha，ssl_rsa_与3des_ede_cbc_sha”
        
uriencoding=“utf8”/>
        
       

三。返回到配置HTTPS文档继续执行步骤。

4。通过登录到FME服务器并从示例存储库运行一个作业来验证您的配置。如果测试成功，您已经完成了为SSL配置FME服务器。

如果作业未能提交，这可能是因为颁发证书的根证书颁发机构不包括在默认情况下在FME服务器的cacerts文件中列出的受信任根证书列表中。要将您的证书添加到可信列表中，请完成以下步骤：

5。 从浏览器中导出.cer作为基础-64。

6。将新export.cer导入信任库（查看文章顶部的注释）

密钥工具-导入证书-信任证书-密钥库
       
        \实用程序\jre\lib\security\cacerts-storepass changeit-noprompt-alias
        
         -文件
         
          神秘主义者
         
        
       

注：不需要-alias参数。如果您的证书没有一套，只需删除-别名 来自命令。

7。重新启动FME服务器服务并尝试运行作业。

8。现在应该为您提供一个使用https/ssl的运行中的FME服务器。

有关进一步的故障排除信息，请访问我们的故障排除指南。

参考文献：

[外部]使用FME服务器（Tomcat）上pfx文件中的ssl通配符证书

服务器管理指南-配置HTTP

为FME服务器配置https/ssl时的pkix路径问题

带pfx文件的fme服务器配置ssl

我正在设置一个dev服务器，想要导入一个证书。我遵循了这些步骤，但是当我导入keytool import-alias tomcat-keystore tomcat.keystore-file时 我得到一个错误“签名字段无效”。也，因为IT承包机构管理应用到服务器的证书，所以我需要导出要在keytool脚本中使用的pfx文件。有什么想法吗？？？？