MobileFirst-Server-Keystore konfigurieren

improve this page | report issue

Übersicht

Ein Keystore ist ein Repository mit Sicherheitsschlüsseln und Zertifikaten, das verwendet wird, um die Gültigkeit der an einer Netztransaktion beteiligten Parteien zu validieren und zu authentifizieren. Der Keystore von MobileFirst Server definiert die Identität von MobileFirst-Server-Instanzen und wird zum digitalen Signieren von OAuth-Token und Paketen für direkte Aktualisierung verwendet. Wenn ein Adapter unter Verwendung der gegenseitigen HTTPS-Authentifizierung (SSL) mit einem Back-End-Server kommuniziert, wird der Keystore auch verwendet, um die SSL-Clientidentität der MobileFirst-Server-Instanz zu validieren.

Beim Wechsel von der Entwicklung zur Produktion muss der Administrator für die Produktionssicherheit MobileFirst Server für die Verwendung eines benutzerdefinierten Keystores konfigurieren. Der Standard-Keystore von MobileFirst Server ist nur zur Verwendung während der Entwicklung bestimmt.

Hinweise

  • Wenn Sie den Keystore verwenden möchten, um die Authentizität eines Pakets für direkte Aktualisierung zu verifizieren, binden Sie die Anwendung statisch an den öffentlichen Schlüssel der MobileFirst-Server-Identität, die im Keystore definiert ist (siehe Sichere direkte Aktualisierung auf der Clientseite implementieren).
  • Ein Rekonfigurieren des MobileFirst-Server-Keystores nach der Produktion muss gründlich überlegt werden. Eine Änderung der Konfiguation kann folgende Auswirkungen haben:
    • Unter Umständen muss der Client als Ersatz für ein mit dem vorherigen Keystore signiertes Token ein neues OAuth-Token anfordern. In den meisten Fällen ist dieser Prozess für die Anwendung transparent.
    • Wenn die Clientanwendung an einen öffentlichen Schlüssel gebunden ist, der nicht mit der MobileFirst-Server-Identität in der neuen Keystore-Konfiguration übereinstimmt, schlägt die direkte Aktualisierung fehl. Binden Sie die Anwendung an den neuen öffentlichen Schlüssel und veröffentlichen Sie die Anwendung erneut, damit die Anwendung weiterhin Aktualisierungen empfangen kann. Alternativ dazu können Sie die Keystore-Konfiguration erneut ändern und wieder an den öffentlichen Schlüssel anpassen, an den die Anwendung gebunden ist (siehe Sichere direkte Aktualisierung auf der Clientseite implementieren).
    • Wenn bei gegenseitiger SSL-Authentifzierung der im Adapter konfigurierte Alias für die SSL-Clientidentiät und das zugehörige Kennwort nicht im neuen Keystore gefunden werden oder nicht mit SSL-Zertifizierungen übereinstimmen, schlägt die SSL-Authentifizierung fehl. Lesen Sie hierzu die Informationen zur Adapterkonfiguration in Schritt 2 der folgenden Prozedur.

Setup

  1. Erstellen Sie eine Java-Keystore-Datei (JKS) oder eine PKCS-12-Keystore-Datei mit einem Alias. Der Keystore muss ein Schlüsselpaar enthalten, das die Identität Ihres MobileFirst Server definiert. Wenn Sie bereits eine passende Keystore-Datei haben, übergehen Sie den nächsten Schritt.

    Hinweis: Der Algorithmus für das Schlüsselpaar mit dem Alias muss vom Typ RSA sein. Nachfolgend ist erklärt, wie der Algorithmustyp bei Verwendung des Dienstprogramms keytool auf RSA gesetzt wird. Sie können die Keystore-Datei mit einem Tool eines anderen Anbieters erstellen. Sie können beispielsweise eine JKS-Datei generieren, indem Sie den folgenden Befehl des Java-Dienstprogramms keytool ausführen. (Im Befehl steht <Keystore-Name> für den Namen Ihres Keystores und <Alias> für Ihren gewählten Alias.)

    keytool -keystore <Keystore-Name> -genkey -alias <Alias> -keylag RSA
    

    Der folgende Beispielbefehl generiert eine JKS-Datei my_company.keystore mit dem Alias my_alias:

    keytool -keystore my_company.keystore -genkey -alias my_alias -keyalg RSA
    

    Das Dienstprogramm fordert Sie zur Eingabe verschiedener Eingabeparameter auf. Sie müssen unter anderem das Kennwort für Ihre Keystore-Datei und für den Alias angeben.

    Hinweis: Sie müssen die Option -keyalg RSA festlegen, damit der Algorithmus für die Schlüsselgenerierung auf den Typ RSA und nicht auf den Standardtyp DSA gesetzt wird. Wenn Sie den Keystore für die gegenseitige SSL-Authentifizierung zwischen einem Adapter und einem Back-End-Server verwenden möchten, fügen Sie außerdem einen Alias für die SSL-Clientidentität der Mobile Foundation zum Keystore hinzu. Dafür können Sie dieselbe Methode wie beim Erstellen der Keystore-Datei mit dem Alias für die MobileFirst-Server-Identität verwenden, nur dass Sie jetzt den Alias und das Kennwort für die SSL-Clientidentität angeben müssen.

  2. Konfigurieren Sie MobileFirst Server wie folgt für die Verwendung Ihres Keystores: Wählen Sie in der Navigationsseitenleiste der MobileFirst Operations Console Laufzeiteinstellungen aus. Wählen Sie dann das Register Keystore aus. Folgen Sie den Anweisungen auf dieser Registerkarte, um Ihren benutzerdefinierten MobileFirst-Server-Keystore zu konfigurieren. Unter anderem müssen Sie Ihre Keystore-Datei hochladen und folgende Angaben machen: Typ des Keystores, Ihr Keystore-Kennwort, Alias für Ihre MobileFirst-Server-Identität und Kennwort für den Alias.

Bei erfolgreicher Konfiguration ändert sich der Status in “Benutzerdefiniert”. Anderfalls wird ein Fehler angezeigt und der Status bleibt “Standard”.

Der Alias für die SSL-Clientidentität (falls verwendet) und das zugehörige Kennwort werden in der Deskriptordatei des betreffenden Adapters in den Unterelementen <sslCertificateAlias> und <sslCertificatePassword> des Elements <connectionPolicy> konfiguriert (siehe Element ‘connectionPolicy’ des HTTP-Adapters).

Last modified on March 07, 2017