So konfigurieren Sie SSL-Authentifizierung

Als Systemadministrator können Sie den Web-Director konfigurieren, um Anmeldeanfragen mithilfe des Protokolls "Secure Socket Layer" (SSL) in eine spezifische Web-Engine zu leiten. Das Konfigurieren der SSL-Authentifizierung sorgt für erweiterte Anmeldesicherheit. Weitere Informationen zum Konfigurieren von SSL für xflow und CA Search Server finden Sie unter Aktivieren von Secure Socket Layer (SSL).
casm173
Als Systemadministrator können Sie den Web-Director konfigurieren, um Anmeldeanfragen mithilfe des Protokolls "Secure Socket Layer" (SSL) in eine spezifische Web-Engine zu leiten. Das Konfigurieren der SSL-Authentifizierung sorgt für erweiterte Anmeldesicherheit. Weitere Informationen zum Konfigurieren von SSL für
xFlow-Oberfläche
und CA Search Server finden Sie unter Aktivieren von Secure Socket Layer (SSL).
Dieser Artikel enthält die folgenden Themen:
Überprüfen der Voraussetzungen (Einrichten von SSL)
Überprüfen Sie die folgenden Voraussetzungen, bevor Sie die SSL-Konfiguration durchführen:
  • Ist auf dem Server, auf dem Sie SSL implementieren möchten, CA SDM installiert und konfiguriert?
  • Mindestens zwei Web-Engines, die konfiguriert und an einen Web-Director zugewiesen sind. Weitere Informationen über das Konfigurieren von Web-Engines und Web-Directors finden Sie unter So konfigurieren Sie Prozesse für CA SDM-Server.
Festlegen der Web-Engine-Funktion durch Web-Director-Parameter
Nachdem Sie die Web-Engine zur Verwendung eines Web-Directors konfiguriert haben, kann die Web-Engine die Webclient-Requests verarbeiten. Die Web-Engine kann Anmelde-Requests (Nicht-Anmeldungen umleiten) oder Nicht-Anmelde-Requests (Anmeldungen umleiten) oder beides ("allgemeiner Zweck" der Web-Engine) bedienen. Der Parameter "WebDirector", der sich in der Datei "<Host_Name>-web[#].cfg" befindet, legt fest, wie die Web-Engine Anmelde-Requests bedienen kann.
Folgende Tabelle zeigt die Beziehung zwischen der Web-Engine-Rolle und der Web-Director-Parametereinstellung an:
Web-Engine-Funktion
WebDirector-Parametereinstellungen in <Host_Name>-web[#].cfg
Anmeldeanforderungen bedienen
UseDirector AfterLogin; Willingness 0
Nicht-Anmeldeaktivität bedienen
UseDirector BeforeLogin; Willingness [1 thru 10]
Universell
UseDirector Yes; Willingness [1-10]
Auswählen der SSL-Anmeldeumgebung
Sie können den Web-Director für eine gezielte SSL-Anmeldung in einer gemischten SSL-/Nicht-SSL-Webumgebung verwenden, um jeden Web-Anmelde-Request an die spezifischen SSL-Web-Engines umzuleiten. Alle anderen Requests können umgeleitet und von den Nicht-SSL-Web-Engines bedient werden.
Wählen Sie aus folgender SSL-Anmeldeumgebung aus:
Nicht-SSL-Umgebung mit grundlegendem Lastausgleich
Sie können WebDirector in einer Nicht-SSL-Umgebung mit einfachem Lastenausgleich verwenden. Der WebDirector gleicht die Last über alle Web-Engines entsprechend dem "Willingness"-Wert jeder Web-Engine aus. Jede Web-Engine kann Anmeldungsanfragen und Nicht-Anmeldungsanfragen bedienen. Für die Kommunikation zwischen dem Webclient und dem Webserver wird das HTTP-Protokoll verwendet.
Legen Sie für jede Web-Engine unter der Kontrolle des WebDirectors die WebDirector-Parameter in der Datei "<
Host_Name
>-web[
#
].cfg" der Web-Engine wie folgt fest:
  • UseDirector: Ja
  • WebDirectorSlumpName: (ändern Sie diesen Wert nicht)
  • WillingnessValue: [1 bis 10]
  • RedirectingURL: (der vorangestellte Protokollwert kann entweder fehlen oder "http" lauten)
Globale SSL-Umgebung mit grundlegendem Lastausgleich
Sie können WebDirector in einer globalen SSL-Umgebung mit einfachem Lastenausgleich verwenden. Der WebDirector gleicht die Last über alle Web-Engines entsprechend dem "Willingness"-Wert jeder Web-Engine aus. Jede Web-Engine kann Anmeldungsanfragen und Nicht-Anmeldungsanfragen bedienen. Für jede Kommunikation zwischen den Webclients und dem Webserver muss das HTTPS-Protokoll verwendet werden.
Legen Sie für jede Web-Engine unter der Kontrolle des WebDirectors die WebDirector-Parameter in der Datei "<
Host_Name
>-web[
#
].cfg" der Web-Engine wie folgt fest:
  • UseDirector: Ja
  • WebDirectorSlumpName: (ändern Sie diesen Wert nicht)
  • WillingnessValue: [1 bis 10]
  • RedirectingURL: (der vorangestellte Protokollwert muss "https" sein)
Gezielte Anmeldung in einer Nicht-SSL-Umgebung mit optionalem Lastausgleich
Sie können WebDirector für eine gezielte Anmeldung bei einer Nicht-SSL-Umgebung mit optionalem Lastenausgleich verwenden. Die nur für Anmeldungen zuständige Web-Engine bedient nur die Anmeldungsanfragen. Die restlichen Web-Engines unter der Kontrolle des WebDirectors bedienen alle anderen Anfragen. Bei dieser Konfiguration liegt die gesamte Last der Bedienung von Anmeldungsanfragen auf den angegebenen, nur für die Anmeldung zuständigen Web-Engines. Für die Kommunikation zwischen dem Webclient und dem Webserver wird das HTTP-Protokoll verwendet.
Stellen Sie für die nur für die Anmeldung zuständigen Web-Engines die WebDirector-Parameter in der Datei "<
Host_Name
>-web[
#
].cfg" der Web-Engine folgendermaßen ein:
  • UseDirector: AfterLogin
  • WebDirectorSlumpName: (ändern Sie diesen Wert nicht)
  • WillingnessValue: 0
  • RedirectingURL: (der vorangestellte Protokollwert kann entweder fehlen oder "http" lauten)
Stellen Sie für die "Nicht-Anmeldungs"-Web-Engines die WebDirector-Parameter in der Datei "<
Host_Name
> -web[
#
].cfg" der Web-Engine folgendermaßen ein:
  • UseDirector: Before Login
  • WebDirectorSlumpName: (ändern Sie diesen Wert nicht)
  • WillingnessValue: [1 bis 10]
  • RedirectingURL: (der vorangestellte Protokollwert kann entweder fehlen oder "http" lauten)
Gezielte SSL-Anmeldung in einer gemischten Umgebung mit optionalem Lastausgleich
Sie können WebDirector für eine gezielte SSL-Anmeldung in einer gemischten SSL-/Nicht-SSL-Webumgebung mit optionalem Lastenausgleich verwenden. Jeder Web-Anmelde-Request wird an die SSL-Web-Engines umgeleitet und von diesen bedient. Alle anderen Requests werden an die Nicht-SSL-Web-Engines umgeleitet und von diesen bedient. Für jede Kommunikation zwischen dem Webclient und den SSL-Web-Engines muss das HTTPS-Protokoll verwendet werden.
Einrichten der SSL-Anmeldeumgebung
Das Einrichten von SSL ermöglicht Ihnen die Verschlüsselung von Webtransaktionen, wodurch maximale Sicherheit für sensible Daten, insbesondere Kennwörter geboten wird. Abhängig von Ihrem Konfigurationstyp können Sie eine SSL-Anmeldeumgebung auf den konfigurierten CA SDM-Servern implementieren.
Gehen Sie folgendermaßen vor:
  1. Melden Sie sich abhängig von Ihrer -Konfiguration bei folgendem CA SDM-Server an:
    • Erweiterte Verfügbarkeit: Anwendungsserver
    • Konventionell: Primärserver oder Sekundärserver
  2. Stellen Sie sicher, dass der Server erfolgreich ein SSL-Zertifikat importiert hat.
  3. Erstellen Sie eine Kopie (einschließlich Unterverzeichnissen) des Verzeichnisses "$NX_ROOT/bopcfg/www/wwwroot", und weisen Sie der Kopie den folgenden Namen zu:
    $NX_ROOT/bopcfg/www/wwwrootsec
  4. Fügen Sie ein neues virtuelles Verzeichnis für den Webserver mit der Bezeichnung CAisdsec hinzu.
  5. Dieses virtuelle Verzeichnis soll auf das folgende physische Verzeichnis zeigen:
    $NX_ROOT/bopcfg/www/wwwrootsec
  6. Stellen Sie sicher, dass die virtuellen Verzeichnisberechtigungen für "CAisdsec" den virtuellen Verzeichnisberechtigungen von "CAisd" zur Skriptausführung entsprechen. Erzwingen Sie SSL für das virtuelle Verzeichnis "CAisdsec".
    In diesem Beispiel ist CAisdsec anwenderdefiniert und kann umbenannt werden.
  7. Speichern Sie die Änderungen.
    WebDirectors verwenden nicht die Datei "<Host_Name>-web[#].cfg". Web-Engines erfordern jedoch die eindeutige Datei <Host_Name>-Web[#].cfg. Die Beispieldateien "web.cfg" werden bei der Ausführung der Konfiguration automatisch generiert. Sie können die Anpassungen in der Originaldatei "web.cfg" durch Angeben der Originaldatei "web.cfg" als Vorlagendatei, die Sie verwenden möchten, in die neuen Webkonfigurationsdateien importieren.
  8. Kopieren und Speichern Sie die folgenden Dateien. Eine Sicherung von diesen Dateien ist nützlich, wenn Sie sich für die Wiederherstellung der ursprüngliche Umgebung entscheiden:
    • $NX_ROOT/pdmconf/pdm_startup.tpl
    • $NX_ROOT/pdmconf/pdm_startup
    • $NX_ROOT/bopcfg/www/web.cfg file
    • jede vorhandene Datei primary-web[#].cfg
    • $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml und web.xml.tpl
    • Erstellen Sie für die Konfiguration eines Sekundärservers Sicherungskopien vorhandener $NX_ROOT/bopcfg/www/web.cfg- oder <Sekundärserver-Hostname>-web[#].cfg-Dateien und von $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml*
  9. Überprüfen Sie für jede Web-Engine, die einem Web-Director zugewiesen ist, ob die Parameter (<Host_Name>-web[#].cfg 'webdirector') der Web-Engine richtig festgelegt wurden. Überprüfen Sie die Datei dazu in einem Texteditor. Ändern Sie bei Bedarf die Parameterwerte des WebDirectors, um die Web-Engine-Rolle zu reflektieren. Kopieren Sie sie dann in das Verzeichnis "$NX_ROOT/bopcfg/www".
  10. Verschieben Sie alle Dateien $NX_ROOT/samples/pdmconf/primary-web[#].cfg in das Verzeichnis $NX_ROOT/bopcfg/www .
    Bei der Konfiguration des Sekundärservers verschieben Sie alle Dateien vom Typ "$NX_ROOT/samples/pdmconf/'secondary_server_name-web[#].cfg" vom Primärserver in das Verzeichnis "$NX_ROOT/bopcfg/www" auf dem Sekundärserver.
  11. Für einen Servlet-Server wie Tomcat erstellt CA SDM web.xml-Dateien, die die Datei "web.xml" auf jedem Server, der eine Web-Engine hostet, ersetzen können. Diese Dateien haben den Namen "primary-web.xml". Benennen Sie die Dateien um und kopieren Sie sie in das Verzeichnis "$NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF".
    Wenn Sie einen HTTP-Server wie IIS oder Apache verwenden, erstellen Sie Kopien von "pdmweb.exe" im Verzeichnis "$NX_ROOT/bopcfg/www/wwwroot", eine Datei vom Typ "pdmweb[#].exe" für jede Web-Engine sowie eine Datei vom Typ "pdmweb_d[#].exe" für jeden konfigurierten Web-Director. Stellen Sie sicher, dass "pdmweb[#].exe" und "pdmweb_d[#].exe" gemäß den korrekten CGI I/F-Werten benannt wurden (zum Beispiel "pdmweb1.exe", "pdmweb2.exe", "pdmweb_d1.exe" usw.).
  12. Wenn Sie IIS verwenden und für jede CGI-Schnittstelle Servererweiterungen hinzufügen möchten, können Sie die Datei "primary-site.dat" als "site.dat" in das Verzeichnis "$NX_ROOT/bopcfg/www" kopieren. Bei der erneuten Konfiguration des Systems werden diese Sites IIS hinzugefügt.
  13. Konfigurieren Sie den Primärserver ohne die Datenbank erneut zu initialisieren, und starten Sie die Dienste.
  14. Überprüfen Sie die aktuellen Einstellungen nach dem Neukonfigurieren auf Gültigkeit. Starten Sie die CA SDM-Daemons. Prüfen Sie, ob keine Fehler in den STDLog-Dateien vorhanden sind. Zeigen Sie mit pdm_status die Daemons und ihren Status an. Verwenden Sie http://localhost:8080/CAisd/pdmweb.exe, um auf das System zuzugreifen.
  15. Für Knowledge Management für CA SDM-Integration: Wenn SSL für CA SDM durchgesetzt wurde, muss der CA SDM-URL-Protokollwert geändert werden.
    1. Ändern Sie im Knowledge Management-Tool Einstellungsmanager unter "Allgemein", "Integration" den CA SDM-URL-Protokollwert von "http" in "https".
    2. Klicken Sie auf „Speichern“ und anschließend auf „Beenden“.
  16. Öffnen Sie die CA SDM-Anmeldeseite in einem Web-Browser, und überprüfen Sie, ob sich ein Anwender anmelden kann und ob das erwartete Umleitungs-/Anmeldeverhalten eingehalten wird.
Implementieren der SSL-Anmeldeumgebung
Um die von Ihnen eingerichtete SSL-Anmeldung zu implementieren, nehmen Sie Änderungen an den Web-Director-Parameterwerten vor.
Gehen Sie folgendermaßen vor:
  1. Bearbeiten Sie "<Host_Name>-web[#].cfg" für Web-Engines für sichere Anmeldung folgendermaßen:
    1. Ändern Sie den "CAisd"-Parameterwert von "/CAisd" in "/CAisdsec".
    2. Ändern Sie den "UseDirector"-Parameterwert von "Yes" zu "AfterLogin", wenn der Web-Director die Authentifizierung weitergibt.
    3. Ändern Sie den „Willingness“-Parameterwert von 5 in 0.
    4. Stellen Sie sicher, dass als Protokoll für den Parameter "RedirectingURL" der Wert "https" eingestellt ist.
    5. Ändern Sie für "RedirectingURL" den Wert <cgi directory> von "CAisd" in "CAisdsec".
    6. Speichern Sie die Änderungen.
  2. Bearbeiten Sie für nicht sichere Web-Engines, die alle anderen Aktivitäten verarbeiten, die Dateien " <Host_Name>-web[#].cfg" folgendermaßen:
    1. Überprüfen Sie, ob der "CAisd"-Parameterwert "/CAisd" ist.
    2. Ändern Sie den "UseDirector"-Parameterwert von "Yes" in "BeforeLogin".
    3. Behalten Sie den „Willingness“-Wert 5 bei, oder stellen Sie ihn auf eine Ganzzahl zwischen 1 und 10 ein, abhängig davon, welche Lastverteilung Sie wünschen.
    4. Stellen Sie sicher, dass als Protokoll für den Parameter "RedirectingURL" der Wert "http" eingestellt ist.
    5. Stellen Sie sicher, dass der "RedirectingURL-<cgi directory>"-Wert "CAisd" lautet.
    6. Speichern Sie die Änderungen.
      Starten Sie Service Desk nach der Konfiguration neu. Nachdem der Dienst neu gestartet wurde, testen Sie die Anmeldung, indem Sie mithilfe von HTTP auf die Nicht-SSL-Web-Engine zugreifen. Überprüfen Sie, ob Sie für die Anmeldung automatisch an die sichere HTTPS-Web-Engine umgeleitet werden. Sobald Sie angemeldet sind, werden Sie für die normale Service Desk-Aktivität automatisch auf die HTTP-Web-Engine (Nicht-SSL) umgeleitet.
Überprüfen der SSL-Anmeldeumgebung
Sie können die SSL-Anmeldeumgebung für Web-Engines überprüfen.
Gehen Sie folgendermaßen vor:
  • Die Web-Engines für sichere Anmeldung müssen sich in dem physischen Verzeichnis befinden, das dem virtuellen Verzeichnis mit SSL-Erzwingung zugeordnet ist (in diesem Beispiel "CAisdsec").
    Erstellen Sie für Web-Engines für sichere Anmeldung neue Instanzen der Datei "pdmweb.exe" im Verzeichnis "$NX_ROOT/bopcfg/www/ wwwrootsec" mit dem Namen "pdmweb[#].exe". Der Name der ausführbaren Datei muss dem CGI I/F-Wert für jede Web-Engine für sichere Anmeldung entsprechen.
    Beispiel: Wenn Sie den CGI I/F-Wert einer Web-Engine für sichere Anmeldung "pdmweb2" zugewiesen haben, erstellen Sie eine physische Kopie der Datei "pdmweb.exe", und nennen Sie diese in "pdmweb2.exe" um.
  • Die nicht sicheren Web-Engines und die Web-Directors müssen sich im physischen Verzeichnis befinden, das dem virtuellen Verzeichnis ohne SSL "CAisd" zugeordnet ist.
    Erstellen Sie für nicht sichere Web-Engines und WebDirectors Instanzen der Datei "pdmweb.exe" im Verzeichnis "$NX_ROOT/bopcfg/www/wwwroot". Eine Kopie von "pdmweb.exe" muss für jede nicht sichere Web-Engine und den konfigurierten Web-Director vorhanden sein. Benennen Sie die Kopien um, damit die neuen Namen der ausführbaren Dateien mit den CGI I/F-Werten übereinstimmen, die für die Web-Engines und die Web-Directors definiert wurden.
    Beispiel: Wenn Sie der nicht sicheren Web-Engine den CGI I/F-Wert "pdmweb3" und dem Web-Director den Wert "pdmweb_d1" zugewiesen haben, dann erstellen Sie zwei Kopien von "pdmweb.exe". Nennen Sie die erste Kopie in "pdmweb3.exe" und die zweite Kopie in "pdmweb_d1.exe" um.
Einrichten von SSL für einen Tomcat-Server
Konfigurieren Sie SSL auf Tomcat-Servern in Ihrer CA SDM-Umgebung.
Gehen Sie folgendermaßen vor:
  1. Um einen Schlüsselspeicher auf jedem CA SDM-Server, der ein SSL-Zertifikat benötigt, zu erstellen, führen Sie folgende Schritte aus:
    Ein Schlüsselspeicher ist ein Speicher oder Speichereinheit für Zertifikate. Hier werden die Zertifikate importiert, und dann Tomcat weist darauf hin, diesen Schlüsselspeicher und die Zertifikate für SSL zu verwenden.
    1. Erstellen Sie ein Verzeichnis unter dem Laufwerk "C:" (oder ein von Ihnen gewünschtes lokales Laufwerk) mit dem Namen "certificates".
    2. Navigieren Sie über die Befehlszeile zum JRE-bin-Verzeichnis (für die mit Service Desk installierte JRE - normalerweise /SC/JRE)
    3. Führen Sie den Befehl "keytool -genkey -alias tomcat -keyalg RSA -keystore c:/certificates/.keystore" aus.
    4. Füllen Sie die Felder entsprechend aus (stellen Sie sicher, dass Sie den Inhalt, den Sie in jedes Feld eingeben, notieren. Möglicherweise werden Sie diese Informationen zu einem späteren Zeitpunkt benötigen).
      Es wird eine .keystore-Datei wird im Verzeichnis "C:\certificates\" erstellt.
  2. Generieren Sie den Zertifikats-Request für jeden Server. Führen Sie folgende Schritte aus, um den Zertifikats-Request zu generieren:
    1. Navigieren Sie über die Befehlszeile zum JRE-bin-Verzeichnis (für die mit Service Desk installierte JRE - normalerweise /SC/JRE)
    2. Führen Sie den Befehl "keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr" aus
      Eine .csr-Datei wird im Verzeichnis "c:/certificates" auf jedem Server erstellt, wo Sie den Zertifikats-Request generiert haben.
    3. Senden Sie die .csr-Dateien an den Anbieter Ihrer Wahl, der dann für jeden Server die entsprechenden Zertifikate, die auf dem Zertifikats-Request basieren müssen, generieren wird.
      Das Zertifikat, das Sie jeweils erhalten, ist unterschiedlich. Einige Anbieter werden Ihnen mehrere Zertifikate senden, darunter möglicherweise ein Stammzertifikat, ein Zwischenzertifikat und ein Ausstellerzertifikat. Jeder Anbieter hat unterschiedliche Anweisungen für das Importieren der bereitgestellten Zertifikate in den Schlüsselspeicher. Wichtig ist es, den spezifischen Anbieter, der normalerweise Zertifikate für Sie generiert, nach spezifischen Anweisungen für das Importieren der Zertifikate in einen Tomcat-Schlüsselspeicher zu fragen.
      Sobald Sie die spezifischen Anweisungen des Anbieters erhalten, können Sie diese befolgen, um die entsprechenden Zertifikate in den Schlüsselspeicher auf jedem Server zu importieren. Nach Abschluss können Sie Tomcat auf der Service Desk-Seite konfigurieren, um auf diesen Schlüsselspeicher zu verweisen, wo die Zertifikate importiert wurden.
  3. Öffnen Sie die Datei "\bopcfg\www\CATALINA_BASE\conf\server.xml" mithilfe eines Texteditors, und suchen Sie Folgendes:
    <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>
    </Connector>-->
  4. Ändern Sie den Code folgendermaßen:
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true"
    keystoreFile="C:\certs\keystore.jks" keystorePass="password">
    <!--<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>-->
    </Connector>
    Stellen Sie sicher, dass Sie die Tags "<--" und "-->" entfernen, die derzeit den HTTPS-/SSL-Connector für Tomcat auskommentieren, und legen Sie den entsprechenden Pfad und das Kennwort für Ihren Schlüsselspeicher fest, den Sie zu Beginn generiert haben.
  5. Speichern Sie die Datei "server.xml".
  6. Starten Sie Tomcat mit den folgenden Befehlen neu:
    pdm_tomcat_nxd - c stop pdm_tomcat_nxd - c start
    Wir empfehlen Ihnen, alle CA SDM-Server neu zu starten, um sicherzustellen, dass Tomcat neu gestartet wird.
  7. Testen Sie Ihre Tomcat-SSL-Verbindung, indem Sie einen Browser öffnen und mithilfe des HTTPS-Protokolls und des Tomcat-Ports zur Service Desk-URL navigieren. Verwenden Sie zum Beispiel die folgende URL:
    https://servername:8443/CAisd/pdmweb.exe
    Das Service Desk-Anmeldefenster sollte sich öffnen. Sie haben erfolgreich SSL auf Tomcat konfiguriert.
Einrichten von SSL unter IIS
Weitere Informationen zum Einrichten der Authentifizierung unter IIS finden Sie in der Microsoft-Dokumentation.