Konfigurieren von TotalFlow BatchBuilder für die Verwendung des HTTPS-Protokolls

TotalFlow BatchBuilder bietet Unterstützung für die Verwendung des HTTPS-Sicherheitsprotokolls. Das HTTPS-Protokoll erleichtert eine sichere Netzwerkkommunikation, indem eine verschlüsselte Verbindung zwischen dem Server und der Webbrowser-Benutzeroberfläche hergestellt wird und der Datenschutz und die Integrität aller übertragenen Daten sichergestellt werden.

Dies ist das Verfahren für die Aktivierung von HTTPS unter Windows 10. In anderen Windows-Versionen kann das Verfahren leicht abweichen.

Um HTTPS zu aktivieren, benötigen Sie ein digitales Zertifikat. Sie können ein Zertifikat verwenden, das von einer Zertifizierungsstelle (CA) signiert wurde, oder ein selbstsigniertes Zertifikat.

    Wichtig:
  • Dieses Verfahren verwendet den Java-Befehl keytool. Weitere Informationen zur Verwendung von keytool finden Sie in der Java-Dokumentation oder in der Dokumentation, die von der Zertifizierungsstelle bereitgestellt wird.
  • Wenn Sie den Standard-Installationspfad geändert haben, stellen Sie sicher, dass Sie in jedem entsprechenden Schritt des Verfahrens C:\Programme\RICOH\TotalFlow BatchBuilder\ durch den Pfad ersetzen, unter dem TotalFlow BatchBuilder installiert ist.
  • Speichern Sie Kopien dieser Dateien an einem sicheren Ort, falls Sie sie in Zukunft wiederherstellen müssen.
    • C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml
    • C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml
    • C:\Programme\RICOH\TotalFlow BatchBuilder\conf.properties
  1. Rufen Sie das digitale Zertifikat ab und speichern Sie es auf dem Computer, auf dem TotalFlow BatchBuilder installiert ist.
    • Um ein Zertifikat zu verwenden, das von einer Zertifizierungsstelle signiert wurde, befolgen Sie die Anweisungen, die von der Zertifizierungsstelle für den Abruf eines signierten Zertifikats bereitgestellt wurden, und importieren Sie es in eine Schlüsselspeicherdatei.
    • So erstellen Sie ein selbstsigniertes Zertifikat:
      1. Öffnen Sie auf dem Computer, auf dem TotalFlow BatchBuilder installiert ist, eine Eingabeaufforderung als Administrator.
      2. Generieren Sie mit dem folgenden Befehl eine lokale Schlüsselspeicherdatei und ein selbstsigniertes Zertifikat:
        • "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -genkey -keyalg RSA -alias selfsigned -keystore "C:\Programme\RICOH\TotalFlow BatchBuilder\keystore.jks" -storepass password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Ersetzen Sie password durch das Passwort, das Sie für die Schlüsselspeicherdatei festlegen möchten.

        Ersetzen Sie certificate_validity durch die Anzahl der Gültigkeitstage für das Zertifikat. Geben Sie zum Beispiel für 90 Tage 90 ein.

        Damit das Java-Zertifikat Nicht-HTTPS-Komponenten anerkennt, fügen Sie die notwendigen Informationen zum Parameter "-ext san: ..." hinzu. Zum Beispiel:

        • Varianten für localhost, die die Heimadresse für IPv4 und IPv6 abdecken: ip:127.0.0.1,ip:::1.
        • Varianten für den Hostnamen: dns:USER.
        • IPv4- und/oder IPv6-Adressen des Computers im IP-Format: ip:User_IPv4,User_IPv6.

      3. Exportieren Sie die generierte Schlüsselspeicherdatei und importieren Sie sie in das Java-Sicherheitszertifikat, indem Sie diese beiden Befehle ausführen:
        • "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -export -alias selfsigned -keystore "C:\Programme\RICOH\TotalFlow BatchBuilder\keystore.jks" -storepass password -file "C:\Programme\RICOH\TotalFlow BatchBuilder\selfsigned.crt"

          Ersetzen Sie password durch das Passwort, das Sie für die Schlüsselspeicherdatei festgelegt haben.

        • "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -import -alias selfsigned -keystore "C:\Programme\RICOH\TotalFlow BatchBuilder\jre\lib\security\cacerts" -storepass "changeit" -file "C:\Programme\RICOH\TotalFlow BatchBuilder\selfsigned.crt"
  2. Konfigurieren Sie die XML- und .properties-Dateien.
    1. Ändern Sie die Datei C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml wie folgt:
      1. Ändern Sie die Zeilen 
        <Connector port="19080"
URIEncoding="UTF-8"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="8443"
maxParameterCount="1000"/>
        in 
        <Connector port="19080"
URIEncoding="UTF-8"
protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="19443"/>
        .
      2. Fügen Sie den folgenden Teil nach dem Absatz hinzu, der im vorherigen Schritt geändert wurde: 
        <Connector port="19443"
protocol="HTTP/1.1"
SSLEnabled="true"
enableLookups="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="LOCATION_OF_KEYSTORE_FILE"
keystorePass="KEYSTORE_PASSWORD"
clientAuth="false"
sslProtocol="TLS"
sslEnabledProtocols="TLSv1.2"/>
        .

      Ersetzen Sie LOCATION_OF_KEYSTORE_FILE durch den Pfad für die Schlüsselspeicherdatei und KEYSTORE_PASSWORD durch das Passwort, das Sie für die Schlüsselspeicherdatei festgelegt haben.

    2. Ändern Sie die Datei C:\Programme\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml wie folgt:
      Fügen Sie den folgenden Teil vor </web-app> hinzu (das sich am Ende der Datei befindet): 
      <security-constraint>
		<web-resource-collection>
		<web-resource-name>Secured</web-resource-name>
		<url-pattern>/*</url-pattern>
		</web-resource-collection>

		<user-data-constraint>
		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
		</user-data-constraint>
</security-constraint>
    3. Ändern Sie die Datei C:\Programme\RICOH\TotalFlow BatchBuilder\conf.properties wie folgt:
      1. Ersetzen Sie http durch https.
      2. Ersetzen Sie 19080 durch 19443.
  3. Starten Sie den Dienst TotalFlow BatchBuilder neu.
  4. Prüfen Sie, ob die Anforderungen an die sichere Verbindung weitergeleitet werden:
    1. Öffnen Sie einen unterstützten Webbrowser.
    2. Löschen Sie den Cache des Webbrowsers.
    3. Geben Sie diese URL in die Adressleiste ein:

      http://server_address:port_number/BatchBuilder

      wobei server_address der Hostname oder die IP-Adresse des Computers ist, auf dem TotalFlow BatchBuilder installiert ist, und port.number für den Webdienst-Port steht.

      Wenn die Seite geladen wird, sollte sich die Adresse in https://server_address:19443/BatchBuilder ändern.

Wenn Benutzer auf das System zugreifen, werden sie an das sichere Protokoll weitergeleitet, ohne dass sie selbst irgendetwas unternehmen müssen.

Wenn Sie aber ein selbstsigniertes Zertifikat verwenden oder wenn das Zertifikat nicht speziell mit dem Server verknüpft ist, gibt der Webbrowser eine Warnung aus, dass dem Zertifikat nicht vertraut wird. Um das Problem zu lösen, können Sie das Zertifikat in den Speicher für vertrauenswürdige Zertifikate von Windows importieren:

  1. Wechseln Sie in den TotalFlow BatchBuilder-Installationsordner.
  2. Klicken Sie mit der rechten Maustaste auf das Zertifikat und wählen Sie Zertifikat installieren.

    Der Assistent für den Zertifikatimport wird gestartet.

  3. Klicken Sie auf dem Bildschirm Willkommen beim Zertifikatimport-Assistenten auf Weiter.
  4. Wählen Sie auf dem Bildschirm Zertifikatspeicher die Option Alle Zertifikate im folgenden Speicher ablegen und klicken Sie auf Durchsuchen.
  5. Wählen Sie im Dialogfeld Zertifikatspeicher auswählen den Speicher Vertrauenswürdige Stammzertifizierungsstellen aus und klicken Sie auf OK.
  6. Klicken Sie auf Nächsten.
  7. Klicken Sie auf dem Bildschirm Zertifikatimport-Assistenten abschließen auf Fertig stellen.

Stellen Sie sicher, dass Sie das Verfahren wiederholen, um HTTPS immer dann zu aktivieren, wenn das Zertifikat bald ausläuft.

Nachdem Sie TotalFlow BatchBuilder repariert haben und HTTPS nicht mehr aktivieren möchten, müssen Sie die interne Serveradresse wieder zu HTTP ändern:

  1. Rufen Sie C:\Programme\RICOH\TotalFlow BatchBuilder auf und bearbeiten Sie die Datei conf.properties als Administrator.
  2. Ersetzen Sie die Zeile "web.address": "https://server_address:19443/BatchBuilder" durch "webAddress": "http://server_address:19080/BatchBuilder".
  3. Speichern und schließen Sie die Datei.
  4. Starten Sie den Dienst TotalFlow BatchBuilder neu.
  5. Löschen Sie den Cache des Webbrowsers.

Hinweis: Wenn TotalFlow BatchBuilder zusammen mit anderen Produkten verwendet wird, funktionieren einige Funktionen, wie zum Beispiel die Statusverfolgung, möglicherweise nicht. Sie benötigen dann entweder ein gültiges, von einer CA genehmigtes Zertifikat für beide Produkte oder müssen die Zertifikatdateien der Produkte in ihren entsprechenden "cacerts"-Dateien importieren, wenn beide HTTPS verwenden.
Übergeordnetes Thema: Sicherheit