Konfigurieren von CA Service Catalog, um SSL zu verwenden.

Sie können CA Service Catalog zur Verwendung von Secure Socket Layer (SSL) konfigurieren. SSL stellt eine verschlüsselte Verbindung zwischen einem Server und einem Client her. Zum Beispiel einen Webserver und Browser; oder einen E-Mail-Server und ein Mail-Client. Dieser Link stellt sicher, dass alle Daten zwischen dem Server und Client übergeben werden und privat und integral bleiben. Wenn Sie ein Produkt zur Verwendung von SSL konfigurieren, ändern Sie die Kommunikationsmethode von HTTP in HTTPS.
casm173
Sie können CA Service Catalog zur Verwendung von Secure Socket Layer (SSL) konfigurieren. SSL stellt eine verschlüsselte Verbindung zwischen einem Server und einem Client her. Zum Beispiel einen Webserver und Browser; oder einen E-Mail-Server und ein Mail-Client. Dieser Link stellt sicher, dass alle Daten zwischen dem Server und Client übergeben werden und privat und integral bleiben. Wenn Sie ein Produkt zur Verwendung von SSL konfigurieren, ändern Sie die Kommunikationsmethode von HTTP in HTTPS.
Folgen Sie diesen Verfahren:
2
Erstellen einer Schlüsselspeicherdatei
Eine Keystore-Datei ist erforderlich, um SSL zu aktivieren. Erstellen Sie eine Keystore-Datei, wenn Sie nicht bereits über eine für ein anderes CA-Produkt verfügen, die in CA Service Catalog integriert ist. Sie können eine Keystore-Datei für ein einzelnes Produkt oder für mehrere Produkte verwenden. Wenn Sie einzelne Schlüsselspeicher für jedes Produkt erstellen müssen, können Sie optional die Schlüsselspeicherdateien zusammenführen.
Gehen Sie folgendermaßen vor:
  1. Öffnen Sie ein Befehlsfenster auf dem Catalog Component-Server.
  2. Geben Sie folgenden Befehl ein:
    keytool -genkey -alias alias_name -keyalg RSA -keystore "USM_HOME\.keystore" -keysize 1024
    alias_name
    Gibt den logischen Namen für das Zertifikat an, das Sie für CA Service Catalog und möglicherweise für andere Produkte verwenden. Notieren Sie diesen Aliasname als Referenz.
  3. Geben Sie das Kennwort unter der Eingabeaufforderung "Schlüsselspeicher-Kennwort eingeben" ein. Um die Konfiguration von Tomcat einfacher zu machen, können Sie "Changeit" als Kennwort verwenden.
  4. Notieren Sie Ihr Kennwort als Referenz.
  5. Geben Sie Ihr Kennwort in der Eingabeaufforderung ein.
Exportieren eines CA-Zertifikats in den Schlüsselspeicher
Nach Erstellung der Schlüsselspeicherdatei müssen Sie ein CA-Zertifikat in den Schlüsselspeicher exportieren. Ohne ein CA-Zertifikat im Schlüsselspeicher, funktionieren die selbstsignierten Zertifikate nicht. Dies ist mit Apache Tomcat 8.5.6 und höher erforderlich, da Tomcat-Server aus Sicherheitsgründen keine Schlüsselspeicher ohne ein CA-Zertifikat akzeptieren.
Gehen Sie folgendermaßen vor:
  1. Führen Sie den unten aufgeführten Befehl aus, um das Zertifikat in den Schlüsselspeicher zu exportieren.
    keytool -export -alias <alias_name> -storepass <password> -file <filename.cer> -keystore <path_and_file_specification_for_keystore>
    Das CA-Zertifikat wird in den Schlüsselspeicher exportiert. Selbstsignierte Zertifikate funktionieren jetzt erfolgreich.
Hinzufügen eines CA-Zertifikats zum Schlüsselspeicher
Nach Erstellung der Schlüsselspeicherdatei müssen Sie ein CA-Zertifikat zum Schlüsselspeicher hinzufügen. Ohne ein CA-Zertifikat im Schlüsselspeicher, funktionieren die selbstsignierten Zertifikate nicht. Dies ist mit Apache Tomcat 8.5.6 und höher erforderlich, da Tomcat-Server aus Sicherheitsgründen keine Schlüsselspeicher ohne ein CA-Zertifikat akzeptieren.
Gehen Sie folgendermaßen vor:
  1. Laden Sie ein CA Zertifikat mithilfe der Download-Zertifikatoptionen jedes beliebigen Webbrowsers herunter.
  2. Führen Sie den folgenden Befehl aus, um das Zertifikat in die Datei
    %USM_HOME%\embedded\jdk\lib\security\cacerts
    zu importieren.
    keytool - import - alias <alias_name> - file <certfile> - keystore %USM_HOME%\embedded\jdk\lib\security\cacerts
    Das CA-Zertifikat wird in die Datei "cacerts" importiert. Selbstsignierte Zertifikate funktionieren jetzt erfolgreich.
Konfigurieren von CA Service Catalog zur Verwendung von SSL
Konfigurieren Sie CA Service Catalog zur Verwendung von Secure Socket Layer (SSL).
Gehen Sie folgendermaßen vor:
  1. Bearbeiten Sie die Datei "Server.xml" zur SSL-Unterstützung.
    Die Datei wird aktualisiert, um SSL für CA Service Catalog zu unterstützen.
  2. Öffnen Sie die USM_HOME\view\conf\viewService.conf-Datei mit einem Texteditor.
  3. Aktualisieren Sie die folgende Zeile mit dem Pfad- und Dateinamen der Keystore-Datei:
    wrapper.java.additional.10=-Djavax.net.ssl.trustStore="USM_HOME\.cacert"
  4. Aktualisieren Sie die folgende Zeile mit dem Kennwort der Keystore-Datei:
    wrapper.java.additional.11=-Djavax.net.ssl.trustPass=changeit
  5. Speichern und schließen Sie die Datei "viewService.conf".
  6. Wählen Sie "Verwaltung", "Konfiguration", "Server-Informationen" auf der CA Service Catalog-GUI.
  7. Füllen Sie die Felder in diesem Abschnitt wie folgt aus:
    Geben Sie für Hostnamen den Namen des Hosts ein, auf dem CA Service Catalog installiert ist.
    Für die Port-Nummer geben Sie den Port an, auf dem HTTPS konfiguriert ist.
    Um HTTPS zu aktivieren, geben Sie "Ja" ein. Starten Sie CA Service Catalog neu.
  8. Melden Sie sich CA Service Catalog mithilfe der folgenden URL an:
    https://hostname:port/usm/wpf
  9. Sie sehen eine Anzeige für ein vertrauenswürdiges Zertifikat, das anzeigt, dass Sie HTTPS verwenden.
  10. Deaktivieren Sie optional den HTTP-Zugriff durch die Kommentierung im Abschnitt für den HTTP-Connector, wie im folgenden Beispiel dargestellt:
<!-- <Connector port="8080" enableLookups="false" redirectPort="8443" tomcatAuthentication="false" maxThreads="400" minSpareThreads="25" maxSpareThreads="100" debug="0" connectionTimeout="15000" disableUploadTimeout="true" compression="on" compressionMinSize="2048" compressableMimeType="text/html,text/plain,text/xml,text/css,text/javascript,image/png,image/gif,image/jpeg,application/json" useBodyEncodingForURI="false" URIEncoding="UTF-8" /> -->
Sie haben CA Service Catalog zur Verwendung von SSL konfiguriert.
Bearbeiten Sie die Datei "Server.xml" zur SSL-Unterstützung.
Als Teil der CA Service Catalog-Konfiguration zur Verwendung von Secure Socket Layer (SSL) bearbeiten Sie die Datei "Server.xml" fürdie SSL-Unterstützung.
Gehen Sie folgendermaßen vor:
  1. Öffnen Sie die Datei "USM_HOME\view\conf\server.xml".
  2. Suchen Sie im folgenden Abschnitt. Aktivieren Sie den Kommentar-Abschnitt durch Entfernen von " " aus den Zeilen für Vor- und Nachnamen, wie im folgenden Beispiel dargestellt:
    <!-- <Connector port="8443" enableLookups="false" tomcatAuthentication="false" maxHttpHeaderSize="8192" maxThreads="400" minSpareThreads="25" maxSpareThreads="100" debug="0" connectionTimeout="15000" disableUploadTimeout="true" compression="on" compressionMinSize="2048" compressableMimeType="text/html,text/plain,text/xml,text/css,text/javascript,image/png,image/gif,image/jpeg,application/json" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" SSLEnabled="true" keystoreFile="__USMHOME__\.keystore" keyAlias="alias_name" keystorePass="changeit"/> -->
    • Aliasname
      Gibt den logischen Namen für das Zertifikat an, das Sie für CA Service Catalog und möglicherweise für andere Produkte verwenden.
  3. Aktualisieren Sie bei Bedarf den Standard-Port (8444) in einen anderen Port für Secure Sockets Layer.
  4. Überprüfen Sie, ob eine oder beide der folgenden Bedingungen vorhanden sind:
    • Sie verwenden einen vorhandenen Schlüsselspeicher.
    • Sie haben den CA Service Catalog-Installationspfad geändert oder einen Keystore-Namen generiert.
  5. Führen Sie die folgenden Aktionen aus, wenn eine oder beide der Bedingungen im vorherigen Schritt vorhanden sind:
    • Aktualisieren Sie den Parameter "KeystoreFile" mit den richtigen Pfad und Namen, in der Regel "USM_HOME\.keystore".
    • Aktualisieren Sie den Parameter "KeyAlias" mit
      alias_name
      , den Sie angegeben haben, wenn Sie eine Schlüsselspeicherdatei für CA Service Catalog erstellt haben.
  6. Speichern und schließen Sie die Datei "Server.xml".
Sie haben die server.xml-Datei bearbeitet. Sie können weiterhin CA Service Catalog zur Verwendung von Secure Socket Layer (SSL) konfigurieren.
(Optional) Hinzufügen von zusätzlichen selbstsignierten Zertifikaten zum Schlüsselspeicher
Bei Verwendung von selbstsignierten Zertifikaten für jeden Computer, der eine Verbindung direkt zum CA Service Catalog herstellt oder wenn CA Service Catalog eine Verbindung zu ihnen herstellt, fügen Sie diese Zertifikate zum Schlüsselspeicher hinzu. Angenommen Sie verwenden beispielsweise Clustering mit Lastenausgleich für CA Service Catalog. Wenn Sie in diesem Fall ein selbstsigniertes Zertifikat für den Lastenausgleich-Computer verwenden, fügen Sie sie zum Schlüsselspeicher hinzu.
Wenn Sie vertrauenswürdige Zertifikate für diese Computer verwenden, müssen Sie diese nicht dem Schlüsselspeicher hinzufügen.
Gehen Sie folgendermaßen vor:
  1. Überprüfen Sie, dass der vertrauenswürdige Computer der Computer ist, der eine direkte Verbindung mit dem CA Service Catalog aufweist.
    Nehmen wir beispielsweise an, dass Sie CA Service Catalog mit CA Service Desk Manager über einen Lastenausgleich-Computer integrieren. In diesem Fall ist CA Service Catalog direkt an das Lastenausgleichsmodul (nicht CA Service Desk Manager) angebunden. Aus diesem Grund ist der vertrauenswürdige Computer das Lastenausgleichsmodul (nicht der CA Service Desk Manager-Computer).
  2. Gehen Sie zu einem Catalog Component-Computer. Laden Sie die DER-codierte binary X.509-Datei (das Zertifikat) für den Computer, der als vertrauenswürdig eingestuft werden soll, herunter.
    Verwenden Sie z. B. Ihren Web-Browser für den Zugriff auf den Computer und um das Zertifikat zu erhalten.
  3. Öffnen Sie die CA Service Catalog-Eingabeaufforderung, und geben Sie den folgenden Befehl ein:
    keytool -importcert -alias aliasname -file pathname-to-certificate -keystore USM_HOME\.keystore
    • alias_name
      Gibt den logischen Namen für das Zertifikat an, das Sie für CA Service Catalog und möglicherweise für andere Produkte verwenden.
    • Pfadname vom Zertifikat
      Gibt den vollständigen Pfadnamen der Zertifikatsdatei an, die Sie im vorherigen Schritt heruntergeladen haben.
    Sie werden aufgefordert, ein Kennwort einzugeben.
  4. Führen Sie eine der folgenden Aktionen durch:
    • Geben Sie "changeit" als Schlüsselspeicher-Kennwort ein.
    • Geben Sie ein anderes Keystore-Kennwort ein.
    Das Kennwort wird gespeichert.
  5. Beenden Sie diesen Schritt, wenn Sie ein anderes Kennwort als "changeit" im vorherigen Schritt eingegeben haben. Andernfalls können Sie diesen Schritt überspringen.
    1. Öffnen Sie zum Bearbeiten die Datei "viewService.conf".
    2. Suchen Sie die Zeile, die den folgenden Satz enthält:
    -Djavax.net.ssl.trustPass=keystore-password
    1. Aktualisieren Sie das Schlüsselspeicher-Kennwort, das dem neuen Kennwort entspricht, das Sie im vorherigen Schritt angegeben haben.
    Die Datei "viewService.conf" wird mit dem neuen Kennwort aktualisiert.
  6. Bleiben Sie an diesem Catalog Component-Computer. Wiederholen Sie die vorherigen Schritte für jeden vertrauenswürdigen Computer, der über selbstsignierte Zertifikate verfügt.
    Die Keystore-Datei wird mit den neuen selbstsignierten Zertifikaten aller verfügbaren Computer aktualisiert, die als vertrauenswürdig eingestuft werden.
  7. Führen Sie folgende Aktionen auf alle anderen Catalog Component-Computer durch:
    1. Aktualisieren Sie ggf. die "viewService.conf"-Datei, um ein anderes Kennwort als
      changeit
      zu verwenden.
    2. Kopieren Sie die aktualisierte Keystore-Datei von diesem Catalog Component-Computer für alle übrigen Catalog Component-Computer.
Sie haben dem Schlüsselspeicher selbstsignierte Zertifikate hinzugefügt.
(Optional) Zusammenführen von Schlüsselspeicherdateien
Eine Keystore-Datei ist erforderlich, um SSL zu aktivieren. Wenn Sie SSL für zwei oder mehrere Produkte verwenden und zwei oder mehrere Schlüsselspeicherdateien haben, empfehlen wir, einen einzelnen Schlüsselspeicher für alle integrierten Produkte zu verwenden. Wenn Sie mehrere Schlüsselspeicher für unterschiedliche Produkte haben und für alle keinen einzelnen Schlüsselspeicher verwenden können, können Sie die Inhalte der einzelnen Schlüsselspeicherdateien zusammenführen.
Gehen Sie folgendermaßen vor:
  1. Kopieren Sie alle Schlüsselspeicherdateien zum Ordner "USM_HOME". Zum Beispiel alle Schlüsselspeicherdateien für CA Process Automation, CA CMDB oder andere Produkte, die in CA Service Catalog integriert sind.
  2. Suchen Sie und notieren Sie alle erforderlichen Schlüsselspeicherdateien, Schlüsselspeicher-Aliasnamen und Kennwörter für die Produkte von Interesse. Für CA Process Automation, können Sie z. B. das Kennwort "c2okeystore" von den KEYSTOREID-Eigenschaften der Datei "OasisConfig.properties" abrufen.
  3. Starten Sie die Katalogkomponente neu.
  4. Geben Sie den Befehl "Keytool" ein, um den Schlüsselspeicher des ersten Produkts, mittels des folgenden Befehls als Modell zusammenzuführen:
    keytool -importkeystore -srckeystore "product1_keystore" -destkeystore "USM_HOME\.keystore" -srcalias product1_alias -destalias alias_name-srckeypass "product1_password" -destkeypass "changeit"
    • "
      product1
      _
      keystore
      "
      Gibt den Namen der Keystore-Datei (einschließlich des vollständigen Pfadnamens) für das Produkt an, die Sie einfügen möchten.
    • product1_alias
      Gibt den Schlüsselspeicher-Alias für das Produkt an, den Sie einfügen möchten.
    • product1_password
      Gibt das Keystore-Kennwort für das Produkt an, das Sie einfügen möchten.
    • alias_name
      Gibt den
      alias_name
      an, den Sie angegeben, wenn Sie eine Schlüsselspeicherdatei für CA Service Catalog erstellt haben.
    Der folgende Befehl fügt den Inhalt des Schlüsselspeichers von CA Process Automation (c2okeystore) in den CA Service Catalog-Schlüsselspeicher ein:
    keytool -importkeystore -srckeystore "%ITPAM_HOME%\server\c2o\.config\c2okeystore" -destkeystore "USM_HOME\.keystore" -srcalias c2o-j -destalias tomcat -srckeypass "475ba811-62cd-4ec8-b757-cd7710de3fa8" -destkeypass "changeit"
    Der folgende Befehl fügt den Inhalt des CA CMDB-Schlüsselspeichers (.cmdb_keystore) in den CA Service Catalog-Schlüsselspeicher ein:
    keytool -importkeystore -srckeystore ".cmbd_keystore" -destkeystore "USM_HOME\.keystore" -srcalias cmdb -destalias tomcat -srckeypass "changeit" -destkeypass "changeit"
  5. Antworten Sie Nein, wenn Sie aufgefordert werden, den Quell-Alias zu überschreiben.
  6. Wiederholen Sie die beiden vorhergehenden Schritte für jedes Produkt, dessen Schlüsselspeicher Sie einfügen möchten.
  7. Überprüfen Sie alle Zertifikate, die Sie einem Schlüsselspeicher einfügen möchten, mit dem folgenden Befehl:
    keytool -list -keystore "USM_HOME\.keystore"
    Dieser Befehl listet die Inhalte des zusammengeführten Schlüsselspeichers auf.
Sie haben Schlüsselspeicherdateien zusammengeführt.
(Optional) Konfigurieren von CA Process Automation für die Kommunikation mit CA Service Catalog über SSL
Konfigurieren Sie CA Process Automation damit CA Service Catalog über SSL kommunizieren kann.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie in der CA Service-Katalog-GUI "Verwaltung", "Konfiguration", "CA Process Automation" aus.
  2. Füllen Sie die Felder in diesem Abschnitt wie folgt aus:
    Geben Sie für Hostnamen den Namen des Hosts ein, auf dem CA Process Automation installiert ist.
    Für die Port-Nummer geben Sie den Port für CA Process Automation an, auf dem HTTPS konfiguriert ist.
    Um HTTPS zu aktivieren, geben Sie "Ja" ein.
  3. Starten Sie die Catalog Component neu.
  4. Klicken Sie auf "Test".
    Der Test der Verbindung erfolgt unter Verwendung der von Ihnen festgelegten neuen Werte.
    Wenn die Verbindung fehlschlägt, versuchen Sie einen anderen Wert.
  5. Klicken Sie auf „Konfigurieren“.
    Die CA Process Automation-Konfigurationsdetails werden mit den von Ihnen festgelegten Werten aktualisiert.
  6. Führen Sie diesen Schritt durch, wenn Sie Inhaltspakete verwenden. Andernfalls können Sie diesen Schritt überspringen.
    Bearbeiten Sie die Datei "USM_HOME\build.xml" und stellen Sie sicher, dass die folgenden Parameter korrekt sind. Aktualisieren Sie sie, falls zutreffend.
    • Der Dateiname und der Pfadname des Schlüsselspeichers
      Zum Beispiel wenn sich der Schlüsselspeicher in "USM_HOME" befindet und der Schlüsselspeicher-Dateiname "is.mykeystore" lautet, aktualisieren Sie diese Zeile wie folgt:
      <sysproperty key="javax.net.ssl.trustStore" value="${env.USM_HOME}/.mykeystore" />
    • Das Keystore-Kennwort
      Wenn beispielsweise das Schlüsselspeicherkennwort "mykeystorepw" lautet, aktualisieren Sie diese Zeile wie folgt:
      <sysproperty key="javax.net.ssl.trustPass" value="mykeystorepw" />
Sie haben CA Process Automation zur Kommunikation mit CA Service Catalog unter Verwendung von SSL konfiguriert. Weitere Informationen finden Sie in der CA Process Automation-Dokumentation.
(Optional) Konfigurieren von CA Business Intelligence zur Kommunikation mit CA Service Catalog unter Verwendung von SSL
Als Teil der Konfiguration von CA Service Catalog um Secure Socket Layer (SSL) verwenden zu können, konfigurieren Sie BusinessObjects Enterprise so, dass es mit CA Service Catalog über SSL kommunizieren kann.
Gehen Sie folgendermaßen vor:
  1. Wählen Sie "Verwaltung", "Konfiguration", "CA Business Intelligence" in der CA Service Catalog-GUI.
  2. Füllen Sie die Felder in diesem Abschnitt wie folgt aus:
    Geben Sie für Hostnamen den Namen des Computers ein, auf dem die Komponente Business Intelligence Launch Pad von CA Business Intelligence gehostet wird.
    Port-Nummer: Geben Sie die Port-Nummer ein, auf der CA Business Intelligence ausgeführt wird.
    Um HTTPS zu aktivieren, geben Sie "Ja" ein.
  3. Starten Sie die Catalog Component neu.
  4. Klicken Sie auf "Starten".
  5. Der Test der Verbindung erfolgt unter Verwendung der von Ihnen festgelegten neuen Werte. Wenn die Verbindung fehlschlägt, versuchen Sie einen anderen Wert.
    Die BusinessObjects Enterprise-Konfigurationsdetails werden mit den von Ihnen festgelegten Werten aktualisiert.
Weitere Informationen finden Sie in der CA Business Intelligence-Dokumentation.