Serverzertifikate für Configuration Hub

Serverseitige Zertifikate ermöglichen sichere Verbindungen zwischen den ausgeführten REST-Diensten und dem Configuration Hub-Webserver. Das SSL-Zertifikat für Configuration Hub ist zwei Jahre gültig und muss nach Ablauf der Gültigkeit neu generiert werden. Wenn Sie Ihre Zertifikate neu generieren müssen, gehen Sie wie folgt vor.

Selbstsignierte Zertifikate für Configuration Hub

Führen Sie die folgenden Schritte aus, um Ihre selbstsignierten Zertifikate für Configuration Hub zu aktualisieren:
  1. Entfernen oder sichern Sie die Zertifikatdateien im Ordner C:\Programme (x86)\GE\ConfigurationHub\ConfigHubPki.
  2. Öffnen Sie als Administrator eine Eingabeaufforderung im Verzeichnis C:\Programme (x86)\GE\ConfigurationHub.
  3. Geben Sie den folgenden Befehl ein, um neue selbstsignierte Zertifikate zu erstellen: 
    restart_confighub.bat "C:\Programme (x86)\GE\ConfigurationHub" "C:\Programme (x86)\GE\ConfigurationHub\Web" 5678 4890 htclab.ge.com

    Dabei ist "C:\Programme (x86)\GE\ConfigurationHub" das Configuration Hub-Installationsverzeichnis, C:\Programme (x86)\GE\ConfigurationHub\Web ist das Verzeichnis, in dem sich der Configuration Hub niginx-Server befindet, 5678 ist der Configuration Hub-Authentifizierungsdienstport (nicht mehr verwendet), und 4890 ist der Configuration Hub-Serverport.

  4. Kopieren Sie die Dateien server_cert.crt und server_cert.key aus dem Ordner C:\Programme (x86)\GE\ConfigurationHub\ConfigHubPki in den Ordner C:\Programme (x86)\GE\ConfigurationHub\Web\conf.
  5. Starten Sie den Rechner neu.

Selbstsignierte Zertifikate für iFIX mit Configuration Hub

Führen Sie die folgenden Schritte aus, um Ihre selbstsignierten Zertifikate für iFIX zu aktualisieren:
  1. Öffnen Sie iFixConfigServiceCertTool.exe als Administrator. Sie finden dieses Tool im Ordner C:\Programme (x86)\GE\iFIX\. Das iFIX Configuration Service Certificate-Tool wird angezeigt.
  2. Klicken Sie auf „Zertifikate löschen“ und dann auf „Zertifikatbindung löschen“.
  3. Entfernen Sie im Windows-Dateiexplorer die Zertifikatdateien aus Verzeichnis C:\Programme (x86)\GE\iFIX\LOCAL\iFIX_OpcuaConfigService\pki oder sichern Sie sie.
  4. Erstellen Sie im iFIX Configuration Service Certificate-Tool die neuen Zertifikate, indem Sie auf die Schaltfläche „Zertifikate erstellen“ klicken.
  5. Nachdem der neue Zertifikatsatz erstellt wurde, vergewissern Sie sich, dass der Zertifikat-Thumbprint im iFIX Configuration Service Certificate-Tool unterschiedlich ist. Wenn sie nicht unterschiedlich sind, wurden die neuen Zertifikate nicht erstellt.
  6. Kopieren Sie die Dateien iFIX_OpcuaConfigServer.crt und iFIX_OpcuaConfigServer.key aus dem Verzeichnis C:\Programme (x86)\GE\iFIX\LOCAL\iFIX_OpcuaConfigService\pki in das Verzeichnis C:\Programme (x86)\GE\iFIX\web\conf.
  7. Starten Sie den Rechner neu.

Externe Zertifikate für Configuration Hub und iFIX

Verwenden Sie die folgenden Schritte, um ein extern ausgestelltes Serverzertifikat für Configuration Hub und iFIX zu konfigurieren.

  1. Besorgen Sie den privaten Schlüssel, das Serverzertifikat und das CA-Bundle, das die Zertifikate für die Aussteller enthält. In der Regel wird der private Schlüssel von Ihnen oder einer Person in Ihrem Unternehmen generiert, und der Zertifikatanbieter stellt Ihnen das Serverzertifikat und das CA-Bundle zur Verfügung.
  2. Wenn Sie die Zertifikate und den privaten Schlüssel in anderen Formaten (z. B. PFX) erhalten haben, erkundigen Sie sich bei Ihrem Anbieter, wie Sie diese in PEM-Dateien erhalten oder umwandeln können. Der von Configuration Hub Nginx verwendete Webserver verwendet Base-64-kodierte PEM-Dateien für Zertifikate und Schlüssel. Weitere Informationen finden Sie unter den folgenden Links:

    http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate

    http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_certificate_key

  3. Öffnen Sie die PEM-Datei in einem Texteditor und suchen Sie die mehrfachen Zertifikaterwähnungen; jedes Zertifikat ist umrahmt von einer öffnenden Zeile 
    -----BEGIN CERTIFICATE-----
    und einer abschließenden Zeile:
    -----END CERTIFICATE-----
  4. Vergewissern Sie sich, dass das Serverzertifikat in dieser Zertifikat-PEM-Datei an erster Stelle steht, gefolgt von den CA-Zertifikaten im CA-Bundle.
  5. Kopieren Sie für Configuration Hub die Root- und Serverzertifikate und die Schlüsseldateien in das Verzeichnis C:\Programme (x86)\GE\ConfigurationHub\ConfigHubPki und die Serverzertifikat- und Schlüsseldateien in das Verzeichnis C:\Programme (x86)\GE\ConfigurationHub\Web\conf. (In Configuration Hub heißen die nginx-Serverzertifikatdateien server.crt und server.key.)
    Anmerkung: Bei einer Namensänderung muss auch die Datei nginx.conf im Ordner C:\Programme (x86)\GE\ConfigurationHub\Web\conf\nginx.conf mit den richtigen Dateinamen aktualisiert werden.
  6. Wenn iFIX mit Configuration Hub verwendet wird, kopieren Sie die Root- und Serverzertifikate und die Schlüsseldateien in das Verzeichnis C:\Programme (x86)\GE\iFIX\LOCAL\iFX_OpcuaConfigService\pki und das Serverzertifikat und die Schlüsseldateien in das Verzeichnis C:\Program Files (x86)\GE\iFIX\web\conf. (In iFIX heißen die nginx-Serverzertifikatdateien iFIX_OpcuaConfigServer.crt und iFIX_OpcuaConfigServer.key.)
    Anmerkung: Bei einer Namensänderung muss auch die Datei nginx.conf im Ordner C:\Programme (x86)\GE\ConfigurationHub\Web\conf\nginx.conf mit den richtigen Zertifikatdateinamen aktualisiert werden.
  7. Bearbeiten Sie ebenfalls für iFIX die Datei ifix_config_service.json (im Ordner C:\Programme (x86)\GE\iFIX\LOCAL) mit den richtigen Zertifikatdateinamen. Die folgenden Felder müssen in dieser Datei aktualisiert werden:
"rootCertificateName": "iFIX_OpcuaConfigRoot", 
"serverCertificateName": "iFIX_OpcuaConfigServer", 
"serverCertificatePassPhrase": "75D43CAAC1E440F08080D7E4A58AE941", 
"generateSSLCerts": true
Wichtig: Das Feld „generateSSLCerts“ muss auf "false" gesetzt werden, wenn externe Zertifikate verwendet werden.