配置 Hub 的服务器证书

服务器端证书允许在运行的 REST 服务和 Configuration Hub Web 服务器之间建立安全的连接。Configuration Hub 的 SSL 证书有效期为两年,到期后必须重新生成。如果需要重新生成证书,请按照下面的步骤进行操作。

自签名证书 Configuration Hub

按照以下步骤来更新 Configuration Hub 的自签名证书:
  1. 移除或备份此文件夹中的证书文件:C:\Program Files (x86)\GE\ConfigurationHub\ConfigHubPki。
  2. 以管理员身份打开命令提示符并进入此目录:C:\Program Files (x86)\GE\ConfigurationHub。
  3. 输入以下命令以创建新的自签名证书: 
    restart_confighub.bat "C:\Program Files (x86)\GE\ConfigurationHub" "C:\Program Files (x86)\GE\ConfigurationHub\Web" 5678 4890 htclab.ge.com

    其中 C:\Program Files (x86)\GE\ConfigurationHub 是 Configuration Hub 的安装目录,C:\Program Files (x86)\GE\ConfigurationHub\Web 是 Configuration Hub niginx 服务器所在的目录,5678 是 Configuration Hub 身份验证服务端口(不再使用),而 4890 则是 Configuration Hub 服务器端口。

  4. 将 server_cert.crt 和 server_cert.key 文件从 C:\Program Files (x86)\GE\ConfigurationHub\ConfigHubPki 文件夹复制到 C:\Program Files (x86)\GE\ConfigurationHub\Web\conf 文件夹。
  5. 重新启动计算机。

配备配置 Hub 的 iFIX 的自签名证书

按照以下步骤来更新 iFIX 的自签名证书:
  1. 以管理员身份打开 iFixConfigServiceCertTool.exe。此工具位于 C:\Program Files (x86)\GE\iFIX\ 文件夹中。iFIX 配置服务证书工具将会显示。
  2. 单击“删除证书”,然后单击“删除证书绑定”。
  3. 在 Windows 文件浏览器中,移除或备份此目录中的证书文件:C:\Program Files (x86)\GE\iFIX\LOCAL\iFIX_OpcuaConfigService\pki。
  4. 在 iFIX 配置服务证书工具中,通过单击“创建证书”按钮创建新证书。
  5. 在创建新的证书集之后,确保证书缩略图在 iFIX 配置服务证书工具中不同。如果相同,将不会创建新的证书。
  6. 将 iFIX_OpcuaConfigServer.crt 和 iFIX_OpcuaConfigServer.key 文件从 C:\Program Files (x86)\GE\iFIX\LOCAL\iFIX_OpcuaConfigService\pki 复制到 C:\Program Files (x86)\GE\iFIX\web\conf 目录。
  7. 重新启动计算机。

配置中心和 iFIX 的外部证书

按照以下步骤,为 Configuration Hub 和 iFIX 配置外部颁发的服务器证书。

  1. 获取私有密钥、服务器证书以及包含颁发者证书的 CA 捆绑包。通常情况下,私有密钥是由您或您组织中的某个人生成的,证书供应商为您提供服务器证书和 CA 捆绑包。
  2. 如果您以其他格式(例如 PFX)接收证书和私有密钥,请向您的供应商咨询如何获取 PEM 格式的证书或如何将其转换成 PEM 文件。Configuration Hub 所使用的 Web 服务器 Nginx,为证书和密钥使用基于 64 位编码的 PEM 文件。有关更多信息, 请参阅下面连接:

    http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate

    http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate_key

  3. 在文本编辑器中打开 PEM 文件并找到提及证书的位置,每个证书都标有开头行:
    -----BEGIN CERTIFICATE-----
    和结束行:
    -----END CERTIFICATE-----。
  4. 确认服务器证书首先出现在此证书 PEM 文件中,后跟 CA 捆绑包中的 CA 证书。
  5. 对于 Configuration Hub,请将根证书和服务器证书以及密钥文件复制到 C:\Program Files (x86)\GE\ConfigurationHub\ConfigHubPki 文件夹,将服务器证书和密钥文件复制到 C:\Program Files (x86)\GE\ConfigurationHub\Web\conf 文件夹。(在 Configuration Hub 中,Nginx 服务器证书文件的命名方式为:server.crt 和 server.key。)
    注: 如果名称发生更改,则也必须使用正确的文件名来更新 C:\Program Files (x86)\GE\ConfigurationHub\Web\conf\nginx.conf 文件夹中的 nginx.conf 文件。
  6. 如果将 iFIX 与 Configuration Hub 搭配使用,请将根证书和服务器证书以及密钥文件复制到 C:\Program Files (x86)\GE\iFIX\LOCAL\iFX_OpcuaConfigService\pki 文件夹,将服务器证书和密钥文件复制到 C:\Program Files (x86)\GE\iFIX\web\conf 文件夹。(在 iFIX 中,Nginx 服务器证书文件的命名方式为:iFIX_OpcuaConfigServer.crt 和 iFIX_OpcuaConfigServer.key。)
    注: 如果名称发生更改,则也必须使用正确的证书文件名来更新 C:\Program Files (x86)\GE\ConfigurationHub\Web\conf\nginx.conf 文件夹中的 nginx.conf 文件。
  7. 此外,对于 iFIX,请使用正确的证书文件名编辑 ifix_config_service.json 文件(位于 C:\Program Files (x86)\GE\iFIX\LOCAL 文件夹中)。必须更新此文件夹中的以下字段:
"rootCertificateName": "iFIX_OpcuaConfigRoot", 
"serverCertificateName": "iFIX_OpcuaConfigServer", 
"serverCertificatePassPhrase": "75D43CAAC1E440F08080D7E4A58AE941", 
"generateSSLCerts": true
重要: 如果使用外部证书,"generateSSLCerts" 字段必须设置为 false。