Configurando o TLS (instalação não OCP)

Editar on-line
  • Recomenda-se configurar para usar seu próprio certificado para TLS.
  • O TLS é ativado por padrão.
  • Se você não fornecer um certificado, o TA gerará um certificado autoassinado quando o TLS estiver ativado.
  • O TA usa o formato .crt para o certificado público e o formato .pem para a chave privada.

TLS (instalação não OCP)

Editar on-line

O TLS está ativado e configurado por padrão, o que pode ser visualizado em ' .security_config; se o arquivo não existir, crie-o.

cd scripts
vi .security_config
  • Valores padrão para " .security_config
# Https

TA_AUTH_ENABLE_TLS=true
TA_LOCAL_INTERNAL_SERVER_PORT=9443
TA_LOCAL_INTERNAL_UI_PORT=3443
TA_LOCAL_INTERNAL_DB_PORT=6984

TA_AES_IV=
TA_AES_KEY=
  • Se os valores forem alterados, reinicialize TA_LOCAL
./launch.sh

Choose Re-initialize Configuration from the menu option

Usando seu próprio certificado com o TA_LOCAL

Editar on-line

Para usar seu próprio certificado, você deve ter um certificado e uma chave privada. Toda a codificação deve estar no formato pem.

É possível usar os arquivos diretamente ou armazenar os valores relevantes como variáveis ambientais.

Aqui está um exemplo de como obter um cert e um par de chaves e o seu próprio cert e sua chave deverão estar no mesmo formato:

openssl req -newkey rsa:2048 -keyout private.pem -x509 -nodes -new -out public.crt \
-subj "/C=IE/ST=Cork/L=Cork/emailAddress=Transformation.Advisor@ie.ibm.com/O=TA/OU=TA/CN=ta.server.local" \
-addext "subjectKeyIdentifier=hash" \
-addext "authorityKeyIdentifier=keyid:always,issuer" \
-addext "basicConstraints = critical,CA:false" \
-addext "keyUsage = digitalSignature, keyEncipherment" \
-addext "extendedKeyUsage = serverAuth" \
-addext "subjectAltName=DNS:localhost,DNS:ta.server.local" \
-sha256 \
-days 365

Depois de obter o seu próprio cert e par de chaves, siga os passos para ativar seu próprio cert e chave:

Certificados como arquivos

Editar on-line
Observação: O certificado deve estar em um arquivo chamado: public.crt.
Observação: A chave privada deve estar em um arquivo chamado: private.pem.
Observação: O arquivo private.pem deve estar sem criptografia. Se, ao abrir o arquivo, ele indicar que está criptografado, ele deverá ser descriptografado antes de ser usado.

Conclua as etapas a seguir:

  • Vá até o local <TA_LOCAL_HOME> e interrompa o TA_LOCAL
./launch.sh
Choose Stop Transformation Advisor from the menu option
  • Configure o TA_LOCAL para usar seus arquivos
cd key
Copy the private.pem and public.crt files to this location
  • Inicie o TA_LOCAL
./launch.sh
Choose Re-initialize Configuration from the menu option

Certificados como variáveis ambientais

Editar on-line
Observação: todos os arquivos na pasta key (detalhada anteriormente) substituirão essas variáveis ambientais.

Para usar variáveis ambientais, você deve excluir a pasta principal, se ela existir

Observação: O arquivo private.pem deve estar sem criptografia. Se, ao abrir o arquivo, ele indicar que está criptografado, ele deverá ser descriptografado antes de ser usado.

Conclua as etapas a seguir:

  • Vá até o local <TA_LOCAL_HOME> e interrompa o TA_LOCAL
./launch.sh
Choose Stop Transformation Advisor from the menu option
  • Configure o TA_LOCAL para usar variáveis ambientais
base64 -w 0 key/private.pem > key/private-base64
Copy the text in private-base64 and set it as the value for TA_PRIVATE_KEY in .security_config
base64 -w 0 key/public.crt > key/public-base64
Copy the text in public-base64 and set it as the value for TA_PUBLIC_KEY in .security_config
  • Inicie o TA_LOCAL
./launch.sh
Choose Re-initialize Configuration from the menu option

Limitações do navegador ao usar certificados autoassinados

Editar on-line

  • Navegadores diferentes reagem de forma diferente quando encontram certificados autoassinados.

  • Seu comportamento também depende das configurações de segurança de cada usuário.

  • No momento em que este artigo foi escrito, esse é o comportamento atual de diferentes navegadores.

Cromo

Editar on-line
  • Isso não permitirá conectar-se a um servidor usando um certificado autoassinado
  • Soluções potenciais
    • Usar seu próprio certificado
    • Instalar o certificado autoassinado como um certificado confiável no navegador

Firefox

Editar on-line

  • Isso permitirá que você se conecte a um servidor usando um certificado autoassinado somente depois de aceitar o risco.

  • Você não poderá fazer upload de dados diretamente do navegador, mesmo depois de aceitar o risco

  • Soluções potenciais

    • Usar seu próprio certificado
    • Instalar o certificado autoassinado como um certificado confiável no navegador
    • Configurar um proxy para o TA, isso permitirá fazer upload de dados diretamente do navegador

Safari

Editar on-line

  • Isso permitirá que você se conecte a um servidor usando um certificado autoassinado somente depois de aceitar o risco.

  • Soluções potenciais

    • Usar seu próprio certificado
    • Instalar o certificado autoassinado como um certificado confiável no navegador

Desativação do TLS (instalação não OCP)

Editar on-line

Faça backup de ' .security_config se ele existir

cd scripts
cp .security_config .security_config.backup

Se " .security_config não existir, crie " .security_config

cd scripts
vi .security_config

  • Valores padrão para " .security_config

    # Http
TA_AUTH_ENABLE_TLS=false
TA_LOCAL_INTERNAL_SERVER_PORT=9080
TA_LOCAL_INTERNAL_UI_PORT=3000
TA_LOCAL_INTERNAL_DB_PORT=5984

TA_AES_IV=
TA_AES_KEY=

  • Atualizar .configuration

    cd scripts
vi .configuration

  • Valor de ' TA_EXTERNAL_UI_PORT atualizado em ' .configuration

    ...
# Https
# Configured by default
#TA_EXTERNAL_UI_PORT=443

# Http
TA_EXTERNAL_UI_PORT=3000

  • Reinicializar TA_LOCAL

    ./launch.sh
Choose Re-initialize Configuration from the menu option