FME Flow:2025,0

Konfigurieren für HTTPS

NotizDie hier beschriebene Aufgabe sollte nur von fortgeschrittenen Benutzern durchgeführt werden. Bevor Sie fortfahren, prüfen Sie Ihre Optionen für alternative Lösungen, bis Sie sicher sind, dass Sie fortfahren möchten. Weitere Ressourcen finden Sie im FME Community oderFME-Unterstützung.
  • Fähigkeitsstufe: Fortschrittlich
  • Geschätzte benötigte Zeit: 45-60 Minuten
  • Voraussetzungen:
    • Testen Sie Jobs und Dienste, um sicherzustellenFME Flow ist voll funktionsfähig. Weitere Informationen finden Sie unterÜberprüfen der Installation

    • Vertrautheit mit den Anweisungen der Zertifizierungsstelle (CA) Ihres Zertifikatsanbieters, insbesondere zum Generieren der Zertifikatsignieranforderung (CSR).

    • (Empfohlen) Vertrautheit mit der SSL-Konfiguration und den Zertifikaten Ihres Web-Anwendungsservers. (Apache Tomcat ist das Servlet für eineÄußern oderFehlertolerant Installation vonFME Flowund als Option mit bestimmtenVerteilt Installationen.)
    • (Empfohlen) Zugriff auf die Person, die Ihre Zertifikate generiert.
NotizWenn Sie Microsoft IIS Application Request Routing (ARR) verwenden, lesen SieDasFME Community Artikel.

Konfigurieren für HTTPS

HTTPS stellt sicher, dass die Kommunikation zwischen Client und Server verschlüsselt ist, sodass Dritte die Informationen nicht ohne Weiteres einsehen oder verwenden können, wenn sie abgefangen werden. Sie können HTTPS verwenden mitFME Flow um sicherzustellen, dass vertrauliche Anmeldeinformationen nicht preisgegeben werden.

Im Folgenden sind zwei unterstützte Methoden zur Sicherung aufgeführt.FME Flow mit HTTPS. Für alternative Methoden, wie beispielsweise die Verwendung eines selbstsignierten Zertifikats, sieheKonfigurierenFME Flow für HTTPS imFME Community.

NotizDie folgenden Anweisungen beschreiben die Schritte zum Einrichten von SSL für Apache Tomcat, den Anwendungsserver, der in einemÄußern oderFehlertolerant Installation vonFME Flowund als Option mit bestimmtenVerteilt Installationen. Die Anweisungen zum Einrichten von SSL auf verschiedenen Webanwendungsservern variieren.

Weitere Informationen zum Konfigurieren von Apache Tomcat für HTTPS oder wenn Sie eine andere Version von Apache Tomcat verwenden, finden Sie in der Dokumentation für Ihre Version aufhttps://tomcat.apache.org/.

Verwenden eines von einer Zertifizierungsstelle ausgestellten Zertifikats

Bei dieser Methode müssen Sie eine Zertifikatsignieranforderung generieren vonFME Flow, mit dem Ihr IT-Team ein CA-Zertifikat mit der Erweiterung .cer oder .crt erstellen kann. Wenn das Zertifikat die Erweiterung .pfx verwendet, folgen SieVerwenden eines PFX- oder P12-Zertifikats (unten) stattdessen.

  1. Erstellen eines Keystore-Generierungsskripts

    2. Öffnen Sie einen Texteditor und kopieren Sie das Beispielskript unten. Ersetzen Sie dabei die Argumentwerte durch Ihre eigenen.

    NotizDerLadenpassUndSchlüsselpasswort Argumente müssen gleich und mindestens 6 Zeichen lang sein.

    keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias <alias> -dname "<DNS-Name>" -storepass <Ladenpass > -keypass <Schlüsselpasswort > -ext san="< San>" -deststoretype pkcs12

    Argument

    Beschreibung
    Genkey Der Programmbefehl Keytool zum Generieren eines neuen Schlüsselspeichers.
    keine Eingabeaufforderung

    Durch die Verwendung dieses Arguments im Befehl wird jegliche Interaktion mit dem Benutzer entfernt.
    Schlüsselalg Der Algorithmus zum Generieren eines privaten/öffentlichen Schlüsselpaars.

    Schlüsselspeicher

    		 Der Name der Keystore-Datei.
    Zielspeichertyp Keystore-Typ,pkcs12 oderjks.
    DNS-Name Der CN-Name, die Organisationseinheit, die Organisation, der Standort (Stadt), das Bundesland und der zweistellige Ländercode. Der Distinguished Name ist eine Reihe von Werten, die zum Erstellen des Zertifikats verwendet werden und sollte so eingegeben werden, wie Sie sie fürFME Flow Benutzer und Besucher.
    Storepass, Keypass Das Passwort des Schlüssels und des Schlüsselspeichers. Der Wert muss mindestens sechs Zeichen lang sein und für beide Argumente identisch sein.
    ext san Der alternative Antragstellername ist eine strukturierte Möglichkeit, alle Domänennamen und IP-Adressen anzugeben, die durch das Zertifikat gesichert sind.
    alias Der Name des Schlüssels im erstellten Schlüsselspeicher.

    Beispiel:

    keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias tomcat -dname "CN=fmeflow.example.org, OU=support, O=SafeSoftware, L=Surrey, S=BC, C=CA" -storepass Passwort1 -keypass Passwort1 -ext san="dns:fmeflow.example.org,dns:fmeflow" -deststoretype pkcs12

  2. Ausführen des Keystore-Generierungsskripts
    1. Öffnen Sie eine Eingabeaufforderung als Administrator und navigieren Sie zuFME Flow Installationsverzeichnis Java Bin:

      2. CD <FMEFlowDir>\Utilities\jre\bin\

      Wo<FMEFlowDir> ist der Standort desFME Flow Installationsordner.

    2. Führen Sie den in Schritt 1 erstellten Befehl aus.
  3. Generieren einer Zertifikatsignieranforderung (CSR)

    4. Bleiben Sie in der Eingabeaufforderung in der Position <FMEFlowDir>\Utilities\jre\bin\ und führen Sie aus:

    keytool -certreq -keyalg RSA -alias <alias> -Datei <Dateiname> -keystore tomcat.keystore -ext san="<San>"

    Geben Sie den Pfad der Zertifikatsignieranforderung an das<Dateiname>und aktualisieren <alias> Und <San> um mit dem in Schritt 1 festgelegten Wert übereinzustimmen.

    Beispiel:

    keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore tomcat.keystore -ext san="dns:fmeflow.example.org,dns:fmeflow"

  4. Erhalten Sie ein Zertifikat

    5. Senden Sie die in Schritt 3 generierte CSR (z. B. certreq.csr) an Ihre Zertifizierungsstelle, um gemäß den Anweisungen Ihrer Zertifizierungsstelle ein Zertifikat zu erhalten.

  5. Importieren Sie das Zertifikat in den Keystore

    6. Wenn Sie über mehrere Zertifikate verfügen, installieren Sie diese in der folgenden Reihenfolge und achten Sie darauf, den Alias und den Zertifikatspfad für jedes Zertifikat zu aktualisieren.

    1. Importieren Sie das Stammzertifikat (sofern vorhanden):

      2. keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file <Pfad/Zertifikatsdateiname>

    2. Importieren Sie das Zwischenzertifikat (falls Sie eines haben):

      3. keytool -import -alias intermediate -keystore tomcat.keystore -trustcacerts -file <Pfad/Zertifikatsdateiname>

    3. Importieren Sie das Zertifikat:

      4. keytool -import -alias <alias> -keystore tomcat.keystore -trustcacerts -file <Pfad/Zertifikatsdateiname>

      NotizVerwenden Sie das gleiche<alias> in Schritt 1 angegeben.
  6. Importieren Sie den Keystore inFME Flowvertrauenswürdige Zertifikate

    7. Geben Sie in einer Eingabeaufforderung von <FMEFlowDir>\Utilities\jre\bin\, verwenden Sie den folgenden Befehl, um den Schlüsselspeicher inFME Flowvertrauenswürdigen Zertifikaten, die diesrcstorepassArgument mit dem Passwort aus Schritt 1.

    keytool -importkeystore -noprompt -srckeystore tomcat.keystore -destkeystore "<FMEFlowDir>\Utilities\jre\lib\security\cacerts" -deststorepass changeit -srcstorepass <Passwort>

    NotizIgnorieren Sie die Warnung, dass der Zieltyp standardmäßig jks sein muss.
  7. Sichern Sie die Tomcat XML-Konfigurationsdateien

    8. Navigieren Sie zu <FMEFlowDir>\Utilities\tomcat\conf und erstellen Sie Sicherungskopien von server.xml, web.xml und context.xml. Wir empfehlen diesen Schritt, damit Sie die Konfiguration bei Bedarf jederzeit problemlos rückgängig machen können.

  8. Konfigurieren Sie server.xml
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie server.xml, das sich in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
    2. Suchen Sie dieSSLEngineEinstellung in der<Listener> Element, einschließlichKlassenname = "org.apache.catalina.core.AprLifecycleListener" und ändern Sie die"An" Wert auf "aus".
    3. Suchen Sie die<Anschluss> Element, das enthältProtokoll="org.apache.coyote.http11.Http11NioProtocol" und ersetzen Sie das gesamte Element durch:

      4. Kopieren 
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
      port="443"
      minSpareThreads="5"
      enableLookups="true"
      disableUploadTimeout="true"
      acceptCount="100"
      maxThreads="200"
      maxHttpHeaderSize="16384"
      scheme="https"
      secure="true"
      SSLEnabled="true"
      maxParameterCount="1000"
      keystoreFile="<file>"
      keystorePass="<password>"
      clientAuth="false" sslEnabledProtocols="TLSv1.1,TLSv1.2"
      sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"
      ciphers="TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_AES_128_GCM_SHA256,DHE-RSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA256,DHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES256-SHA,DHE-RSA-AES128-SHA"
      URIEncoding="UTF8" />

      <Connector port="80" protocol="HTTP/1.1" redirectPort="443"/>

      Aktualisieren Sie unbedingt dieSchlüsselspeicherdateiUnd SchlüsselspeicherpasswortParameter zum Schlüsselspeicherort und zum Kennwort, die in Schritt 1 festgelegt wurden. Ein Beispiel finden Sie unterdiese server.xml-Referenz. Wenn das Passwort ungültige XML-Zeichen enthält< > “ ' &, sie müssen entkommen.

      Notiz
      • Um TLS 1.1 zu deaktivieren, entfernen SieTLSv1.1,aus demSSL-fähige Protokolle Einstellung.
      • Die Liste derChiffrenist nicht erschöpfend. Wenn Ihr Zertifikat mit einem anderen Algorithmus erstellt wurde, muss die entsprechende Chiffre hinzugefügt werden. Alle nicht verwendeten Algorithmen können problemlos aus dieser Liste entfernt werden. Eine vollständige Liste der von Tomcat unterstützten Verschlüsselungen finden Sie imApache Tomcat 9.0.69 API-Dokumentation.
    4. (Optional) Um den Port für die HTTPS-Kommunikation zu ändern, ändern Sie443zum gewünschten Port, sowohl für dieHafenUndUmleitungsPortRichtlinien.
    5. Speichern und schließen Sie die Datei server.xml.
  9. Konfigurieren von web.xml
    1. Öffnen Sie web.xml, gelegen in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
    2. Fügen Sie den folgenden Codeblock am Ende der Datei ein, direkt vor dem schließenden</web-app> Element:

      3. <Sicherheitsbeschränkung>

      <Web-Ressourcensammlung>

      <Web-Ressourcenname>HTTPSOnly</Web-Ressourcenname>

      <URL-Muster>/*</URL-Muster>

      </Web-Ressourcensammlung>

      <Benutzerdateneinschränkung>

      <transport-guarantee>VERTRAULICH</transport-guarantee>

      </Benutzerdateneinschränkung>

      </Sicherheitsbeschränkung>

    3. Speichern und schließen Sie die Datei web.xml.
  10. Konfigurieren Sie context.xml
    1. Öffnen Sie context.xml, gelegen in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
    2. Fügen Sie am Ende der Datei, direkt vor dem schließenden</Kontext> Element:

      3. <Valve className="org.apache.catalina.authenticator.SSLAuthenticator" disableProxyCaching="false" />

    3. Speichern und schließen Sie die Datei context.xml.
  11. Aktualisieren Sie dieFME Flow Web-URL zur Verwendung von HTTPS
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie DateienfmeFlowConfig.txt Und fmeFlowWebApplicationConfig.txt.
    2. Aktualisieren Sie in beiden Dateien dieFME_SERVER_WEB_URL Richtlinie durch ÄnderunghttpZu httpsund ändern Sie den Port auf denselben, der in Schritt 8 angegeben wurde.
    3. Speichern und schließen Sie die Dateien.
  12. Überprüfen der HTTPS-Konfiguration
    1. NeustartFME Flow.
    2. Öffnen Sie einen Webbrowser und navigieren Sie zu https://localhost/. Wenn Sie Tomcat so konfiguriert haben, dass es einen anderen Port als den Standardport 443 verwendet, geben Sie auch den Port an (https://localhost:<Hafen>).
    3. Sie sollten dasFME Flow Anmeldeseite in einem sicheren Format.
  13. Ändern Sie die Dienst-URLs zur Verwendung von HTTPS

    14. Um Jobs aufzugeben aufFME Flow über HTTPS, müssen Sie SSL für dieFME FlowWebdienste.

    1. ImFME Flow Web-Benutzeroberfläche, öffnen Sie dieLeistungen Seite.
    2. KlickenAlle Hosts ändern und in derURL-Muster Feld, ändernHTTPZu HTTPS. (FME Flow Möglicherweise hat dieser Server diese Änderung bereits vorgenommen.) Ändern Sie bei Bedarf die Portnummer – normalerweise ist SSL entweder auf Port 8443 oder 443 konfiguriert. Wenn Sie fertig sind, klicken Sie aufOK.
    3. Laufen eine Probeworkspace mit den Daten-Download- und Job-Submit-Diensten, um IhreFME Flow arbeitet mit HTTPS.

    DeinFME Flow ist jetzt für die Arbeit über HTTPS konfiguriert. Wenn Sie jedoch dieWebSocket-Server oderIntegrierte Windows-Authentifizierung, sind einige zusätzliche Schritte erforderlich.

  14. (Optional) Aktivieren Sie SSL auf dem WebSocket-Server

    15. DerFME FlowWebSocket-Server unterstützt unsichere (ws://) oder sichere Verbindungen (wss://). Diese Konfiguration ist nur erforderlich, wenn Sie den WebSocket-Server verwenden möchten oderThemenmonitoring (Vermächtnis).

    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie die Datei fmeWebSocketConfig.txt in IhremFME Flow Installationsverzeichnis (<FMEFlowDir>\Server).
    2. SatzWEBSOCKET_ENABLE_SSL=true.
    3. Entkommentieren Sie dieWEBSOCKET_KEYSTORE_FILE_PATH und legen Sie sie so fest, dass sie auf die in Schritt 8 in server.xml festgelegte Keystore-Datei verweist. Zum Beispiel:

      4. WEBSOCKET_KEYSTORE_FILE_PATH=<FMEFlowDir>/Utilities/tomcat/tomcat.keystore

      NotizVerwenden Sie Schrägstriche, die sich vom Pfad in server.xml unterscheiden können.
    4. Entkommentieren Sie dieWEBSOCKET_KEYSTORE_FILE_PASSWORD und legen Sie sie so fest, dass sie auf das in Schritt 8 in server.xml festgelegte Kennwort der Keystore-Datei verweist. Zum Beispiel:

      5. WEBSOCKET_KEYSTORE_FILE_PASSWORD=Passwort1

      NotizSetzen Sie das Passwort nicht in Anführungszeichen.
    5. Geben Sie dieselben Einstellungen für die Anweisungen WEBSOCKET_ENABLE_SSL, WEBSOCKET_KEYSTORE_FILE_PATH und WEBSOCKET_KEYSTORE_FILE_PASSWORD in den folgenden Dateien an:
      • <FMEFlowDir>\Server\config\subscribers\websocket.properties
      • <FMEFlowDir>\Server\config\publishers\websocket.properties
    6. Aktualisieren Sie in den folgenden Dateien das Protokoll in dervalue Eigentum derEIGENTUMRichtlinie von"ws:" Zu"wss:"
      • <FMESharedResourceDir>\localization\publishers\websocket\publisherProperties.xml
      • <FMESharedResourceDir>\localization\subscribers\websocket\subscriberProperties.xml
        • Notiz<FMESharedResourceDir> bezieht sich auf den Standort desFME Flow Systemfreigabe, angegeben währendInstallation.
    7. Führen Sie die folgenden .bat-Dateien aus, die sich in <FMEFlowDir>\Clients\Dienstprogramme:
      • addPublishers.bat
      • addSubscribers.bat
    8. NeustartFME Flow.
    9. Um zu testen, ob die Konfiguration vollständig ist,Ausführen von Jobs und AnsichtThemenmonitoring.
  15. (Optional) Aktualisieren Sie die SSO-Authentifizierungs-URL, um HTTPS zu verwenden
    16. NotizDieser Schritt ist nur anwendbar, wenn Sie verwenden möchtenIntegrierte Windows-Authentifizierung (Single Sign-On) für den Zugriff auf dieFME Flow Webschnittstelle.
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie die fmeserver propertiesFile.properties, die sich in <FMEFlowDir>\Dienstprogramme\tomcat\webapps\fmeserver\WEB-INF\conf\.
    2. Suchen Sie dieSINGLE_SIGN_ON_AUTH_URL Parameter und aktualisieren Sie den Hostnamen und den Portteil der URL, sodass sie mit dem Hostnamen übereinstimmen, über den dieFME Flow Auf die Web-Benutzeroberfläche wird zugegriffen.

      3. Zum Beispiel:

      SINGLE_SIGN_ON_AUTH_URL=https://<MyFMEFlowHost>:443/fmetoken/sso/generate

Verwenden eines PFX- oder P12-Zertifikats

Verwenden Sie diese Anweisungen zur Konfiguration IhresFME Flow für HTTPS mithilfe eines .pfx- oder .p12-Zertifikats, das Sie von einer Zertifizierungsstelle (CA) erhalten haben. Wenn Sie kein Zertifikat haben, folgen Sie den Anweisungen fürVerwenden eines von einer Zertifizierungsstelle ausgestellten Zertifikats (oben) stattdessen.

  1. Erstellen Sie eine Sicherungskopie der Tomcat XML-Konfigurationsdateien

    2. Gehe zu <FMEFlowDir>\Utilities\tomcat\conf und erstellen Sie Sicherungskopien von server.xml, web.xml und context.xml.

  2. Konfigurieren Sie server.xml
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie server.xml, das sich in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
    2. Suchen Sie dieSSLEngineEinstellung in der<Listener> Element, einschließlichKlassenname = "org.apache.catalina.core.AprLifecycleListener" und ändern Sie die"An" Wert auf "aus".
    3. Suchen Sie die<Anschluss> Element, das enthältProtokoll="org.apache.coyote.http11.Http11NioProtocol" und ersetzen Sie das gesamte Element durch:

      4. Kopieren 
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol"
      port="443"
      minSpareThreads="5"
      enableLookups="true"
      disableUploadTimeout="true"
      acceptCount="100"
      maxThreads="200"
      maxHttpHeaderSize="16384"
      scheme="https"
      secure="true"
      maxParameterCount="1000"
      SSLEnabled="true"
      keystoreFile="<file>"
      keystorePass="<password>"
      keystoreType="PKCS12"
      clientAuth="false" sslEnabledProtocols="TLSv1.1,TLSv1.2"
      sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation"
      ciphers="TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_AES_128_GCM_SHA256,DHE-RSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA256,DHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES256-SHA,DHE-RSA-AES128-SHA"
      URIEncoding="UTF8" />

      <Connector port="80" protocol="HTTP/1.1" redirectPort="443"/>

      DerSchlüsselspeicherdatei sollte auf Ihr .pfx-Zertifikat verweisen. Wir empfehlen, dieses Zertifikat aufzubewahren inFME Flow's Tomcat-Verzeichnis: <FMEFlowDir>\Dienstprogramme\tomcat\. Stellen Sie sicher, dassSchlüsselspeicherpasswort ist auf das Passwort für Ihr PFX-Zertifikat eingestellt. Wenn das Passwort ungültige XML-Zeichen enthält< > “ ' &, sie müssen entkommen.

      Notiz
      • Um TLS 1.1 zu deaktivieren, entfernen SieTLSv1.1,aus demSSL-fähige Protokolle Einstellung.
      • Die Liste derChiffrenist nicht erschöpfend. Wenn Ihr Zertifikat mit einem anderen Algorithmus erstellt wurde, muss die entsprechende Chiffre hinzugefügt werden. Alle nicht verwendeten Algorithmen können problemlos aus dieser Liste entfernt werden. Eine vollständige Liste der von Tomcat unterstützten Verschlüsselungen finden Sie imApache Tomcat 9.0.69 API-Dokumentation.
    4. (Optional) Um den Port für die HTTPS-Kommunikation zu ändern, ändern Sie443zum gewünschten Port, sowohl für dieHafenUndUmleitungsPortRichtlinien.
    5. Speichern und schließen Sie die Datei server.xml.
  3. Konfigurieren von web.xml
    1. Öffnen Sie web.xml, gelegen in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
    2. Fügen Sie den folgenden Codeblock am Ende der Datei ein, direkt vor dem schließenden</web-app> Element:

      3. <Sicherheitsbeschränkung>

      <Web-Ressourcensammlung>

      <Web-Ressourcenname>HTTPSOnly</Web-Ressourcenname>

      <URL-Muster>/*</URL-Muster>

      </Web-Ressourcensammlung>

      <Benutzerdateneinschränkung>

      <transport-guarantee>VERTRAULICH</transport-guarantee>

      </Benutzerdateneinschränkung>

      </Sicherheitsbeschränkung>

    3. Speichern und schließen Sie die Datei web.xml.
  4. Konfigurieren Sie context.xml
    1. Öffnen Sie context.xml, gelegen in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
    2. Fügen Sie am Ende der Datei, direkt vor dem schließenden</Kontext> Element:

      3. <Valve className="org.apache.catalina.authenticator.SSLAuthenticator" disableProxyCaching="false" />

    3. Speichern und schließen Sie die Datei context.xml.
  5. Aktualisieren Sie dieFME Flow Web-URL zur Verwendung von HTTPS
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie DateienfmeFlowConfig.txt Und fmeFlowWebApplicationConfig.txt.
    2. Aktualisieren Sie in beiden Dateien dieFME_SERVER_WEB_URL Richtlinie durch ÄnderunghttpZu httpsund ändern Sie den Port auf denselben, der in Schritt 2 angegeben wurde.
    3. Speichern und schließen Sie die Dateien.
  6. (Optional) Exportieren Sie das Zertifikat aus dem Browser im Base64-Format und importieren Sie es in den cacerts Trust Store
    7. NotizDieser Schritt ist nur erforderlich, wenn Ihr Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle stammt. In anderen Browsern als Chrome können die Anweisungen leicht abweichen.

    A. Starten Sie denFME Flow Anwendungsserverdienst

    B. Öffnen Sie einen Browser und navigieren Sie zu https://localhost/. Wenn Sie Tomcat so konfiguriert haben, dass es einen anderen Port als den Standardport 443 verwendet, geben Sie auch den Port an (https://localhost:<Hafen>).

    C. Zeigen Sie das Zertifikat im Browser an.

    D. Wählen Sie dieDetailsund klicken Sie aufExport.

    e. Speichern unterBase-64-kodiertes ASCII, Einzelzertifikat (CRT) auf die lokale Festplatte (zum Beispiel <Zertifikatspfad>\mycert.crt)

    f. Importieren Sie den Schlüsselspeicher inFME Flowvertrauenswürdige Zertifikate

    Wechseln Sie in einer Eingabeaufforderung als Administrator in das Verzeichnis <FMEFlowDir>\Utilities\jre\bin\. Verwenden Sie den folgenden Befehl, um den Schlüsselspeicher inFME Flowvertrauenswürdige Zertifikate:

    keytool -import -trustcacerts -keystore "<FMEFlowDir>\Utilities\jre\lib\security\cacerts" -storepass changeit -noprompt -file <Zertifikatspfad>\mycert.crt

  7. Überprüfen der HTTPS-Konfiguration
    1. NeustartFME Flow.
    2. Öffnen Sie einen Webbrowser und navigieren Sie zu https://localhost/. Wenn Sie Tomcat so konfiguriert haben, dass es einen anderen Port als den Standardport 443 verwendet, geben Sie auch den Port an (https://localhost:<Hafen>).
    3. Sie sollten dasFME Flow Anmeldeseite in einem sicheren Format.
  8. Ändern Sie die Dienst-URLs zur Verwendung von HTTPS

    9. Um Jobs aufzugeben aufFME Flow über HTTPS, müssen Sie SSL für dieFME FlowWebdienste.

    1. ImFME Flow Web-Benutzeroberfläche, öffnen Sie dieLeistungen Seite.
    2. KlickenAlle Hosts ändern und in derURL-Muster Feld, ändernHTTPZu HTTPS. (FME Flow Möglicherweise hat dieser Server diese Änderung bereits vorgenommen.) Ändern Sie bei Bedarf die Portnummer – normalerweise ist SSL entweder auf Port 8443 oder 443 konfiguriert. Wenn Sie fertig sind, klicken Sie aufOK.
    3. Laufen eine Probeworkspace mit den Daten-Download- und Job-Submit-Diensten, um IhreFME Flow arbeitet mit HTTPS.

    DeinFME Flow ist jetzt für die Arbeit über HTTPS konfiguriert. Wenn Sie jedoch dieWebSocket-Server oderIntegrierte Windows-Authentifizierung, sind einige zusätzliche Schritte erforderlich.

  9. (Optional) Aktivieren Sie SSL auf dem WebSocket-Server

    10. DerFME FlowWebSocket-Server unterstützt unsichere (ws://) oder sichere Verbindungen (wss://). Diese Konfiguration ist nur erforderlich, wenn Sie den WebSocket-Server verwenden möchten oderThemenmonitoring (Vermächtnis).

    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie die Datei fmeWebSocketConfig.txt in IhremFME Flow Installationsverzeichnis (<FMEFlowDir>\Server).
    2. SatzWEBSOCKET_ENABLE_SSL=true.
    3. Entkommentieren Sie dieWEBSOCKET_KEYSTORE_FILE_PATH und legen Sie sie so fest, dass sie auf die in Schritt 2 in server.xml festgelegte Keystore-Datei verweist. Zum Beispiel:

      4. WEBSOCKET_KEYSTORE_FILE_PATH=<FMEFlowDir>/Dienstprogramme/tomcat/mycert.pfx

      NotizVerwenden Sie Schrägstriche, die sich vom Pfad in server.xml unterscheiden können.
    4. Entkommentieren Sie dieWEBSOCKET_KEYSTORE_FILE_PASSWORD und legen Sie sie so fest, dass sie auf das in Schritt 2 in server.xml festgelegte Kennwort der Keystore-Datei verweist. Zum Beispiel:

      5. WEBSOCKET_KEYSTORE_FILE_PASSWORD=Passwort1

      NotizSetzen Sie das Passwort nicht in Anführungszeichen.
    5. Geben Sie dieselben Einstellungen für die Anweisungen WEBSOCKET_ENABLE_SSL, WEBSOCKET_KEYSTORE_FILE_PATH und WEBSOCKET_KEYSTORE_FILE_PASSWORD in den folgenden Dateien an:
      • <FMEFlowDir>\Server\config\subscribers\websocket.properties
      • <FMEFlowDir>\Server\config\publishers\websocket.properties
    6. Aktualisieren Sie in den folgenden Dateien das Protokoll in dervalue Eigentum derEIGENTUMRichtlinie von"ws:" Zu"wss:"
      • <FMESharedResourceDir>\localization\publishers\websocket\publisherProperties.xml
      • <FMESharedResourceDir>\localization\subscribers\websocket\subscriberProperties.xml
        • Notiz<FMESharedResourceDir> bezieht sich auf den Standort desFME Flow Systemfreigabe, angegeben währendInstallation.
    7. Führen Sie die folgenden .bat-Dateien aus, die sich in <FMEFlowDir>\Clients\Dienstprogramme:
      • addPublishers.bat
      • addSubscribers.bat
    8. NeustartFME Flow.
    9. Um zu testen, ob die Konfiguration vollständig ist,Ausführen von Jobs und AnsichtThemenmonitoring.
  10. (Optional) Aktualisieren Sie die SSO-Authentifizierungs-URL, um HTTPS zu verwenden
    11. NotizDieser Schritt ist nur anwendbar, wenn Sie verwenden möchtenIntegrierte Windows-Authentifizierung (Single Sign-On) für den Zugriff auf dieFME Flow Webschnittstelle.
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie die Datei fmeserver propertiesFile.properties, die sich in <FMEFlowDir>\Dienstprogramme\tomcat\webapps\fmeserver\WEB-INF\conf\.
    2. Suchen Sie dieSINGLE_SIGN_ON_AUTH_URL Parameter und aktualisieren Sie den Hostnamen und den Portteil der URL, sodass sie mit dem Hostnamen übereinstimmen, über den dieFME Flow Auf die Web-Benutzeroberfläche wird zugegriffen.

      3. Zum Beispiel:

      SINGLE_SIGN_ON_AUTH_URL=https://<MyFMEFlowHost>:443/fmetoken/sso/generate

FME Flowunter Linux enthält einen NGINX-Reverse-Proxy, der eine einfache SSL-Konfiguration und die Möglichkeit ermöglicht, Ports unter 1024 ohne Root-Berechtigung auszuwählen. HTTPS ist auf dem NGINX-Reverse-Proxy und nicht auf dem Apache Tomcat-Webanwendungsserver konfiguriert.

  1. Erstellen Sie ein Verzeichnis für das Zertifikat:

    2. sudo mkdir /etc/nginx/ssl

  2. Platzieren Sie ein Zertifikat und einen Schlüssel im neuen Verzeichnis.
    • Wenn Sie ein von einer Zertifizierungsstelle (CA) ausgestelltes Zertifikat verwenden, benötigen Sie das Zertifikat oder Zertifikatspaket (.crt) und den Zertifikatsschlüssel (.key).

    • Wenn Sie ein .pfx- oder .p12-Zertifikat verwenden, müssen Sie es in das .crt- und .key-Format konvertieren. Weitere Informationen finden Sie unterKonfigurierenFME Flow für HTTPS imFME Community.

    • Alternativ können Sie mit dem folgenden Befehl ein selbstsigniertes SSL-Zertifikat und einen Schlüsselspeicher generieren:

      • sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/<Schlüsselname>.key -out /etc/nginx/ssl/<Zertifikatsname >.crt

      Ersetzen< Schlüsselname > Und < Zertifikatsname > mit den Dateinamen des Schlüssels bzw. des Zertifikats. Beispiel:nginx.key Und nginx.crt.

  3. Aktivieren Sie den Diffie-Hellman-Schlüsselaustausch:

    4. sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

    sudo chmod 400 /etc/nginx/ssl/dhparam.pem

  4. Öffnen Sie die Datei /etc/nginx/conf.d/fmeflow.conf.
  5. Entkommentieren Sie dieServerBlock, der Anweisungen zum Abhören von Port 80 und zur Umleitung auf Port 443 enthält. Dieser Block sollte ungefähr wie folgt aussehen:

    6. # Umleitung von 80 auf 443, wenn SSL aktiviert ist

    Server {

    hören Sie 80;

    Servername <<Hostname>>;

     

    Standort / {

    return 301 https://$host$request_uri;

    }

    }

  6. Im WesentlichenServerBlockieren Sie die Zeile mit den Anweisungen zum Abhören von Port 80 und heben Sie die Kommentarzeichen bei den Zeilen auf, die anweisen, mit SSL auf Port 443 abzuhören und die SSL-Konfiguration einzuschließen. Nach Abschluss sollten diese Zeilen wie folgt aussehen:

    7. #hören 80;

    hören Sie 443 SSL;

    /etc/nginx/fmeflow/ssl.conf einschließen;

  7. ImWebSocket-Server Blockieren, kommentieren und entfernen Sie die Kommentarzeichen aus den entsprechenden Zeilen, um sicherzustellen, dass das Abhören mit SSL auf Port 7078 erfolgt. Nach Abschluss sollten diese Zeilen wie folgt aussehen:

    8. #listen 7078;

    hören Sie 7078 SSL;

    /etc/nginx/fmeflow/ssl.conf einschließen;

  8. Speichern und schließen Sie die Datei.
  9. Öffnen Sie die Datei /etc/nginx/fmeflow/ssl.conf und stellen Sie sicher, dass das SSL-Zertifikat und der Schlüssel auf den richtigen Namen und das richtige Verzeichnis Ihres Zertifikats verweisen, wie in den Schritten 1 und 2 definiert.
  10. Laden Sie die NGINX-Konfiguration neu:

    11. Dienst Nginx neu laden

  11. Öffnen Sie die Datei server.xml als Administrator. Diese Datei befindet sich in <FMEFlowDir>\Dienstprogramme\tomcat\conf.
  12. Aktualisieren Sie dieProxyPortRichtlinie zu443:

    13. ProxyPort="443"

  13. Aktualisieren Sie dieSchemaRichtlinie zuhttps:

    14. Schema="https"

  14. Speichern und schließen Sie die Datei.
  15. Öffnen Sie die folgende Konfigurationsdatei: /opt/fmeflow/Utilities/tomcat/webapps/fmeserver/WEB-INF/conf/propertiesFile.properties
  16. Aktualisieren Sie dieWEB_SOCKET_SERVER_PORT Richtlinie zu443:

    17. WEB_SOCKET_SERVER_PORT=443

  17. Speichern und schließen Sie die Datei.
  18. Aktualisieren Sie dieFME Flow Web-URL zur Verwendung von HTTPS:
    1. Führen Sie einen Texteditor als Administrator aus und öffnen Sie DateienfmeFlowConfig.txt Und fmeFlowWebApplicationConfig.txt.
    2. Am Ende beider Dateien, unterFME-SERVEREINSTELLUNGEN STARTEN >Port- und Hostzuweisungen, aktualisieren Sie die FME_SERVER_WEB_URL Richtlinie vonhttpZu https und ändern Sie den Port auf denselben, der in Schritt 2 angegeben wurde.
    3. Speichern und schließen Sie die Dateien.
  19. NeustartFME Flow.

Siehe auch