Configurazione di TotalFlow BatchBuilder per l'utilizzo del protocollo HTTPS
Di seguito è illustrata la procedura per abilitare HTTPS su Windows 10. Potrebbero esserci differenze minime in altre versioni di WIndows.
Per abilitare HTTPS, è necessario un certificato digitale. È possibile utilizzare un certificato firmato da un'autorità di certificazione (CA) o un certificato autofirmato.
- Importante:
- In questa procedura viene utilizzato il comando Java
keytool
. Per i dettagli sull'utilizzo dikeytool
, vedere la documentazione Java o la documentazione fornita dall'autorità di certificazione. - Se è stato modificato il percorso di installazione predefinito, verificare di sostituire
C:\Program Files\RICOH\TotalFlow BatchBuilder\
con il percorso in cui è installato TotalFlow BatchBuilder ovunque nella procedura. - Salvare copie di questi file in una posizione sicura qualora fosse necessario ripristinarli
in futuro.
C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml
C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml
C:\Program Files\RICOH\TotalFlow BatchBuilder\conf.properties
- Ottenere il certificato digitale e archiviarlo sul computer su cui è installato TotalFlow BatchBuilder.
- Per utilizzare un certificato firmato da un'autorità di certificazione, seguire le istruzioni fornite dall'autorità di certificazione per ottenere un certificato firmato e importarlo in un file keystore.
- Per creare un certificato autofirmato:
- Sul computer su cui è installato TotalFlow BatchBuilder, aprire una finestra del prompt dei comandi come amministratore.
- Andare alla cartella che contiene il keytool Java, utilizzando questo comando:
cd "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin"
- Generare un file keystore locale e un certificato autofirmato utilizzando questo comando:
keytool.exe -genkey -keyalg RSA -alias selfsigned -keystore keystore.jks -storepass password -validity certificate_validity -keysize 2048 -ext san=dns:localhost
Sostituire storepass password con la password da impostare per il file keystore.
Sostituire certificate_validity con il numero di giorni validi per il certificato. Ad esempio, inserire
90
per 90 giorni.Affinché il certificato Java riconosca componenti non HTTPS, aggiungere le informazioni necessarie al parametro "-ext san: ...". Ad esempio:
- Varianti per localhost che copre l'indirizzo iniziale per IPv4 e IPv6: ip:127.0.0.1,ip:::1
- Varianti per hostname: dns:USER
- Indirizzi IPv4 e/o IPv6 del computer che utilizza il formato IP: ip:User_IPv4,User_IPv6
- Esportare e importare il file keystore generato nel certificato di sicurezza Java
eseguendo questi due comandi:
keytool -export -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keystore.jks" -storepass password -file "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\selfsigned.crt"
keytool -import -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\lib\security\cacerts" -storepass "changeit" -file "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\selfsigned.crt"
Sostituire storepass password con la password impostata per il file keystore.
- Configurare i file XML e .properties
- Modificare il file
C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml
come segue:- Modificare le righe
<Connector port="19080" URIEncoding="UTF-8" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="19080"/>
in<Connector port="19080" URIEncoding="UTF-8" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="19443"/>
- Aggiungere la sezione seguente dopo il paragrafo modificato al punto 1) sopra:
<Connector port="19443" protocol="HTTP/1.1" SSLEnabled="true" enableLookups="true" maxThreads="150" scheme="https" secure="true" keystoreFile="LOCATION_OF_KEYSTORE_FILE" keystorePass="KEYSTORE_PASSWORD" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2"/>
- Modificare le righe
- Modificare il file
C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml
come segue:Aggiungere la sezione seguente prima di </web app> (alla fine del file):<security-constraint> <web-resource-collection> <web-resource-name>Secured</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
- Modificare il file
C:\Program Files\RICOH\TotalFlow BatchBuilder\conf.properties
come segue:- sostituire
http
conhttps
- sostituire
19080
con19443
- sostituire
- Modificare il file
- Riavviare il servizio TotalFlow BatchBuilder.
- Verificare che le richieste vengano inoltrate alla connessione sicura:
- Aprire una finestra del browser Web supportato.
- Immettere l'URL seguente nella barra degli indirizzi:
http://server_address:port_number/BatchBuilder
in cui server_address è il nome host o l'indirizzo IP del computer su cui è installato Ricoh TotalFlow BatchBuilder e port_number è la porta dei servizi web.
Quando si carica la pagina, l'indirizzo deve cambiare in
https://server_address:19443/BatchBuilder
.
Verificare di ripetere la procedura per abilitare HTTPS ogni volta che il certificato sta per scadere. È anche necessario ripetere la procedura ogni volta che si esegue il processo di installazione per reinstallare, aggiornare o riparare TotalFlow BatchBuilder.
Dopo la riparazione di TotalFlow BatchBuilder, se non si desidera più abilitare HTTPS, è necessario modificare di nuovo l'indirizzo del server interno su HTTP:
- Andare a
C:\Program Files\RICOH\TotalFlow BatchBuilder
e modificare il fileconf.properties
come amministratore. - Sostituire la riga
"web.address": "https://server_address:19443/BatchBuilder"
con"webAddress": "http://server_address:19080/BatchBuilder"
. - Salvare e chiudere il file.
- Riavviare il servizio TotalFlow BatchBuilder.
- Nota:
- Quando si utilizzano altri prodotti, alcune funzioni, come il rilevamento dello stato, potrebbero non funzionare e richiedere un certificato approvato CA per entrambi o l'importazione dei file del certificato dei prodotti all'interno dei rispettivi file "cacerts" se entrambi funzionano su HTTPS.
- Quando gli utenti accedono al sistema, vengono reindirizzati al protocollo sicuro senza dover eseguire azioni autonomamente. Tuttavia, se si utilizza un certificato autofirmato o se il certificato non è collegato specificatamente al server, il browser Web emette un avviso che segnala che il certificato non è attendibile.