Configurazione di TotalFlow BatchBuilder per l'utilizzo del protocollo HTTPS

TotalFlow BatchBuilder fornisce supporto per l'utilizzo del protocollo di sicurezza HTTPS. Il protocollo HTTPS agevola la comunicazione di rete sicura stabilendo un collegamento crittografato tra il server e l'interfaccia utente del browser Web e garantisce la privacy e l'integrità di tutti i dati trasmessi.

Di seguito è illustrata la procedura per abilitare HTTPS su Windows 10. Potrebbero esserci differenze minime in altre versioni di WIndows.

Per abilitare HTTPS, è necessario un certificato digitale. È possibile utilizzare un certificato firmato da un'autorità di certificazione (CA) o un certificato autofirmato.

    Importante:
  • In questa procedura viene utilizzato il comando Java keytool. Per i dettagli sull'utilizzo di keytool, vedere la documentazione Java o la documentazione fornita dall'autorità di certificazione.
  • Se è stato modificato il percorso di installazione predefinito, verificare di sostituire C:\Program Files\RICOH\TotalFlow BatchBuilder\ con il percorso in cui è installato TotalFlow BatchBuilder ovunque nella procedura.
  • Salvare copie di questi file in una posizione sicura qualora fosse necessario ripristinarli in futuro.
    • C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml
    • C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml
    • C:\Program Files\RICOH\TotalFlow BatchBuilder\conf.properties
  1. Ottenere il certificato digitale e archiviarlo sul computer su cui è installato TotalFlow BatchBuilder.
    • Per utilizzare un certificato firmato da un'autorità di certificazione, seguire le istruzioni fornite dall'autorità di certificazione per ottenere un certificato firmato e importarlo in un file keystore.
    • Per creare un certificato autofirmato:
      1. Sul computer su cui è installato TotalFlow BatchBuilder, aprire una finestra del prompt dei comandi come amministratore.
      2. Generare un file keystore locale e un certificato autofirmato utilizzando questo comando:
        • "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -genkey -keyalg RSA -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\keystore.jks" -storepass password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Sostituire password con la password da impostare per il file keystore.

        Sostituire certificate_validity con il numero di giorni validi per il certificato. Ad esempio, inserire 90 per 90 giorni.

        Affinché il certificato Java riconosca componenti non HTTPS, aggiungere le informazioni necessarie al parametro "-ext san: ...". Ad esempio:

        • Varianti per localhost che copre l'indirizzo iniziale per IPv4 e IPv6: ip:127.0.0.1,ip:::1
        • Varianti per nome host: dns:USER
        • Indirizzi IPv4 e/o IPv6 del computer che utilizza il formato IP: ip:User_IPv4,User_IPv6

      3. Esportare e importare il file keystore generato nel certificato di sicurezza Java eseguendo questi due comandi:
        • "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -export -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\keystore.jks" -storepass password -file "C:\Program Files\RICOH\TotalFlow BatchBuilder\selfsigned.crt"

          Sostituire password con la password da impostare per il file keystore.

        • "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\bin\keytool" -import -alias selfsigned -keystore "C:\Program Files\RICOH\TotalFlow BatchBuilder\jre\lib\security\cacerts" -storepass "changeit" -file "C:\Program Files\RICOH\TotalFlow BatchBuilder\selfsigned.crt"
  2. Configurare i file XML e .properties
    1. Modificare il file C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\server.xml come segue:
      1. Modificare le righe
        <Connector port="19080"
        URIEncoding="UTF-8"
        protocol="HTTP/1.1"
        connectionTimeout="20000"
        redirectPort="8443"
        maxParameterCount="1000"/>
        in
        <Connector port="19080"
        URIEncoding="UTF-8"
        protocol="HTTP/1.1"
        connectionTimeout="20000"
        redirectPort="19443"/>
      2. Aggiungere la sezione seguente dopo il paragrafo modificato al punto precedente:
        <Connector port="19443"
        protocol="HTTP/1.1"
        SSLEnabled="true"
        enableLookups="true"
        maxThreads="150"
        scheme="https"
        secure="true"
        keystoreFile="LOCATION_OF_KEYSTORE_FILE"
        keystorePass="KEYSTORE_PASSWORD"
        clientAuth="false"
        sslProtocol="TLS"
        sslEnabledProtocols="TLSv1.2"/>

      Sostituire LOCATION_OF_KEYSTORE_FILE con il percorso del file keystore e KEYSTORE_PASSWORD con la password impostata per il file keystore.

    2. Modificare il file C:\Program Files\RICOH\TotalFlow BatchBuilder\apache-tomcat\conf\web.xml come segue:
      Aggiungere la sezione seguente prima di </web-app> (alla fine del file):
      <security-constraint>
      		<web-resource-collection>
      		<web-resource-name>Secured</web-resource-name>
      		<url-pattern>/*</url-pattern>
      		</web-resource-collection>
      
      		<user-data-constraint>
      		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
      		</user-data-constraint>
      </security-constraint>
    3. Modificare il file C:\Program Files\RICOH\TotalFlow BatchBuilder\conf.properties come segue:
      1. sostituire http con https
      2. sostituire 19080 con 19443
  3. Riavviare il servizio TotalFlow BatchBuilder.
  4. Verificare che le richieste vengano inoltrate alla connessione sicura:
    1. Aprire una finestra del browser Web supportato.
    2. Cancellare la cache del browser Web.
    3. Immettere l'URL seguente nella barra degli indirizzi:

      http://server_address:port_number/BatchBuilder

      dove server_address è il nome host o l’indirizzo IP del computer su cui è installatoTotalFlow BatchBuilder e port_number è la porta dei servizi Web.

      Quando si carica la pagina, l'indirizzo deve cambiare in https://server_address:19443/BatchBuilder.

Quando gli utenti accedono al sistema, vengono reindirizzati al protocollo sicuro senza dover eseguire azioni autonomamente.

Tuttavia, se si utilizza un certificato autofirmato o se il certificato non è collegato specificatamente al server, il browser Web visualizza un avviso che segnala che il certificato non è attendibile. Per risolvere il problema, è possibile importare il certificato nell'archivio dei certificati attendibili di Windows:

  1. Accedere alla cartella di installazione di TotalFlow BatchBuilder.
  2. Fare clic con il tasto destro del mouse sul certificato e selezionare Installa certificato.

    Si avvia Importazione guidata certificati.

  3. Nella schermata Benvenuti nell'Importazione guidata certificati, fare clic su Avanti.
  4. Nella schermata Archivio certificati, selezionare l'opzione Posiziona tutti i certificati nell'archivio seguente e fare clic su Sfoglia.
  5. Nella finestra di dialogo Seleziona archivio certificati, selezionare l'archivio Autorità di certificazione radice disponibile nell'elenco locale e fare clic su OK.
  6. Fare clic su Avanti.
  7. Nella schermata Completamento dell'Importazione guidata certificati, fare clic su Fine.

Verificare di ripetere la procedura per abilitare HTTPS ogni volta che il certificato sta per scadere.

Dopo la riparazione di TotalFlow BatchBuilder, se non si desidera più abilitare HTTPS, è necessario modificare di nuovo l'indirizzo del server interno su HTTP:

  1. Andare a C:\Program Files\RICOH\TotalFlow BatchBuilder e modificare il file conf.properties come amministratore.
  2. Sostituire la riga "web.address": "https://server_address:19443/BatchBuilder" con "webAddress": "http://server_address:19080/BatchBuilder".
  3. Salvare e chiudere il file.
  4. Riavviare il servizio TotalFlow BatchBuilder.
  5. Cancellare la cache del browser Web.

Nota: Quando si utilizza TotalFlow BatchBuilder con un altro prodotto, alcune funzioni, come il rilevamento dello stato, potrebbero non funzionare e richiedere un certificato approvato CA per entrambi i prodotti o l'importazione dei file del certificato dei prodotti all'interno dei rispettivi file "cacerts" se entrambi utilizzano HTTPS.