Den Proxy installieren

Als Systemadministrator installieren Sie den Proxy-Client und -Server. Diese Installationsanweisungen gelten für Windows und UNIX.

Hinweise:

  • Sie müssen den Proxy auf jedem Computer installieren, auf dem der Proxy-Client oder -Server ausgeführt wird.

  • Überprüfen Sie, welche Java-Version Sie benötigen. Weitere Informationen finden Sie unter Kompatibilitätsinformationen.

  • Verwenden Sie den ServiceManager, um den Proxy-Client und Server als Service zu starten. Weitere Informationen finden Sie unter ServiceManager.

Diese Seite beinhaltet Folgendes:

Übersicht

Die Proxy-Anwendung ermöglicht es Administratoren, die Java-Kommunikationsprozess (JCP)-Verbindungen der Automation Engine-Komponenten (Agenten, AWI-Instanzen, APIs) zu einer Verbindung zu kombinieren und die Richtung, in der die Verbindung aufgebaut wurde, umzukehren.

Die Verbindungen zwischen dem Proxy-Client und dem Server bedingen eine TLS/SSL-Verschlüsselung und -Authentifizierung (im pkcs12-Format). Diese Verbindungen werden nur akzeptiert, wenn beide das gleiche Zertifikat haben. Die TLS/SSL-Authentifizierung kann nicht deaktiviert werden.

Ab Version 21 verwendet die Kommunikation zwischen dem Proxy-Client und dem Java-Kommunikationsprozess (JCP) die TLS/SSL-Serverauthentifizierung – einen Industriestandard – über ein sicheres WebSocket (WSS). Der JCP verwendet vertrauenswürdige Zertifikate, um seine Identität anderen Kommunikationspartnern gegenüber nachzuweisen.

Deshalb müssen Sie entscheiden, welche Art von Zertifikaten Sie verwenden werden, um die Kommunikation in Ihrem System zu sichern. Diese Entscheidung muss sorgfältig durchdacht werden, da sie nicht nur bestimmt, wie sicher die Verbindungen sind, sondern auch die Zeit und den Aufwand, die Sie in die Erneuerung und Bereitstellung der Zertifikate investieren müssen.

Weitere Informationen finden Sie unter Hinweise zu TLS/SSL für Automic Automation.

Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwendet haben, werden die Zertifikate standardmäßig im entsprechenden Java- oder Betriebssystemspeicher gespeichert. In diesem Fall müssen Sie nur prüfen, ob die Root-Zertifikate bereits im jeweiligen Speicher sind.

Wenn Sie nicht den Standardspeicherort für diese Komponente verwenden möchten, stellen Sie sicher, dass Sie die Parameter trustedCertFolder=, agentSecurityFolder= und keyPassword= (falls zutreffend) in der entsprechenden Konfigurationsdatei (INI) verwenden, um den Pfad zum Ordner zu definieren, in dem die vertrauenswürdigen Zertifikate gespeichert sind.

Weitere Informationen finden Sie unter Verbindungen zur AE sichern (TLS/SSL).

Der Proxy-Server benötigt ein eigenes Zertifikat, das dann an den Ordner übergeben wird, in dem die vertrauenswürdigen Zertifikate für den jeweiligen Agenten gespeichert sind. Dieser Pfad wird im Parameter trustedCertFolder= der jeweiligen Agent-INI-Datei definiert.

Ablauf der Installation

  1. Installieren Sie die Java Standard Edition. Sie können diesen Schritt überspringen, wenn die gewünschte Version der Java Standard Edition bereits verfügbar ist.

    Verwenden Sie den folgenden Befehl, um die aktuelle Version der Java Virtual Machine (VM) auf Ihrem System zu prüfen:

    java -version

    Hinweis: Die Reihenfolge der angegebenen Verzeichnisse ist dann relevant, wenn Sie %PATH% oder $PATH angeben, wenn mehrere Versionen der JRE oder des Java SDK auf Ihrem Computer installiert sind. Es wird die zuerst angeführte Java-Laufzeitumgebung (JRE) verwendet.

  2. Erstellen Sie ein spezifisches Verzeichnis für den Proxy-Server und ein weiteres spezifisches Verzeichnis für den Proxy-Client (z. B. unter Windows C:\Automic\Proxy\bin), und kopieren Sie die bereitgestellten Dateien in das entsprechende Verzeichnis.

    Wichtig! Kopieren Sie die INI-Datei nur in das Verzeichnis des Proxy-Clients. Der Proxy-Server benötigt keine INI-Datei. Weitere Informationen finden Sie unter Proxy INI-Datei.

  3. Erstellen Sie das TLS/SSL-Zertifikat im pkcs12-Format für den Proxy-Server. Dieses Zertifikat wird für die Kommunikation zwischen dem Proxy-Server und dem Proxy-Client verwendet.

    1. Verwenden Sie das Java-Keytool im bin-Ordner des Java-Programmverzeichnisses, um ein selbstsigniertes Zertifikat zu erstellen.

      2. Beispiel

      %JAVA_HOME%\bin\keytool.exe

    2. Der folgende Befehl erstellt die Datei keystore.p12, die ein Zertifikat speichert, das 365 Tage lang gültig ist. Die KeyStore-Datei ist durch das Passwort passwd geschützt.

      3. keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.p12 –storetype PKCS12 -storepass passwd -validity 365 -keysize 2048

      Sie können das Passwort für keystore.p12 mit dem Programm UCYBCRYP.EXE verschleiern. Weitere Informationen finden Sie unter Verschleiern von Kennwörtern.

    3. Geben Sie die Unternehmensinformationen ein.

  4. Starten Sie den Proxy-Server (Instanz, die auf dem Agenten läuft, API usw.) mit den folgenden Kommandozeilenparametern:

    • servicePort= Port des Proxy-Server,s mit dem sich der Proxy-Client verbindet. Wenn dieser Parameter nicht angegeben wird, wird automatisch der Standard-Port 4321 verwendet.

    • keyStore= Pfad und Name der KeyStore-Datei

    • keyStorePwd= Passwort der KeyStore-Datei

    Beispiel

    java -cp proxy.jar com.uc4.proxy.Server -keyStore=keystore.p12 -keyStorePwd=passwd -servicePort=4321

    Optional können Sie auch die Befehlszeile verwenden, um die folgenden Parameter für den Proxy-Server zu definieren:

    java -jar com.automic.proxy.server.ProxyServer

    • --certAlias <arg>: Zertifikatalias

      Standard: selbst signiert

    • --helpLib <arg>: Pfad zur Meldungstextbibliothek

      Standard: ./uc.msl

    • --keyPwd <arg>: Schlüsselpasswort

    • --keyStore <arg>: Pfad zum Schlüsselspeicher

    • --keyStorePwd <arg>: Keystore-Passwort

    • --log <arg>: Pfad zur Protokolldatei, die für die Protokollierung der Ausgabe verwendet wird. Wenn nicht angegeben, wird die Ausgabe in die Konsole geschrieben. Darüber hinaus sendet der Proxy-Server unabhängig vom Ausgabetyp (Konsole oder Datei) das Protokoll an den Proxy-Client, der es an die Automation Engine weiterleitet. Deshalb kann das Protokoll des Proxy-Clients und des Proxy-Servers auch im AWI angezeigt werden.

    • --logCount <arg>: Maximale Anzahl von Log-Dateien, die als Verlauf verwendet werden

    • --serviceAddr <arg>: Lokale IP-Adresse. Sie können den Proxy-Server an eine bestimmte Schnittstelle binden.

    • --servicePort <arg>: TCP/IP-Port, den der Proxy-Server verwendet, um den Proxy-Client zu überwachen

      Standard: 4321

    • --trace <arg>: Pfad zur Log-Datei, die für die Protokollierung der Ausgabe verwendet wird

    • --traceLevel <arg>: Ebene der Trace-Ausgabe

      Erlaubte Werte: 0–9

  5. Der Proxy-Client benötigt ein Zertifikat, um eine Verbindung zum Proxy-Server herzustellen, und ein anderes, um eine Verbindung zum JCP in der Automation Engine herzustellen. Stellen Sie sicher, dass beide Zertifikate vorliegen.

    Exportieren Sie das Zertifikat des Proxy-Servers aus dem Keystore und kopieren Sie es auf den Proxy-Client-Host. Sie können den folgenden Befehl verwenden, um das Zertifikat zu exportieren: 

    keytool -export
        -keystore KEYSTORE.p12 
        -alias jetty 
        -file proxy.cer

    Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwendet haben, werden die Zertifikate standardmäßig im entsprechenden Java- oder Betriebssystemspeicher gespeichert. In diesem Fall müssen Sie nur prüfen, ob die Root-Zertifikate bereits im jeweiligen Speicher sind.

    Wenn Sie nicht den Standardspeicherort für diese Komponente verwenden möchten, stellen Sie sicher, dass Sie die Parameter trustedCertFolder=, agentSecurityFolder= und keyPassword= (falls zutreffend) in der entsprechenden Konfigurationsdatei (INI) verwenden, um den Pfad zum Ordner zu definieren, in dem die vertrauenswürdigen Zertifikate gespeichert sind.

    Weitere Informationen finden Sie unter Verbindungen zur AE sichern (TLS/SSL).

  6. Konfigurieren Sie die INI-Datei des Proxy-Clients.

    • Definieren Sie im Abschnitt [GLOBAL] den Server (Proxy-Server) und die Routing-Ports:

      • serverProxy=4321

      • routingPort=2217

    • Optional: Verknüpfen Sie Proxy-Paare mithilfe des Abschnitts [OTHER_SP_LIST] oder definieren Sie Proxy-Segmente mithilfe des Parameters segment= im Abschnitt [GLOBAL] der INI-Datei. Weitere Informationen finden Sie unter Info über Proxy.

  7. Starten Sie den Proxy-Client als Agent, ohne Kommandozeilenparameter einzugeben.

    Beispiel

    java -jar proxy.jar

    Wenn kein anderer Speicherort angegeben wurde, befindet sich die INI-Datei im gleichen Verzeichnis wie die JAR-Datei des Proxy. Verwenden Sie den Parameter -I, um die INI-Datei an einem anderen Ort zu speichern.

    Beispiel

    java -jar proxy.jar -Imy_proxy.ini

    Beim Starten erstellt der Proxy Wenn die Verbindung zum JCP erfolgreich ist, verbindet sich der Proxy-Client mit dem Proxy

    Hinweis: Beim Starten des Proxy-Clients wird eine technische Verbindung zum AE-System hergestellt. Das bedeutet, dass sich der Proxy-Client als Agent mit dem AE-System und dem jeweiligen Kommunikationsprozess verbindet(JCP). Alle Proxy-Clients, die online sind, werden auf der Seite Agent in der Administration-Perspektive angezeigt.

  8. Konfigurieren Sie die INI-Datei des Agenten, der über den Proxy verbunden ist. Weitere Informationen finden Sie unter Agenten – INI-Dateien.

    • Definieren Sie im Abschnitt [TCP/IP] den Verbindungsendpunkt, der auf den Proxy-Server und den Routing-Port verweisen soll:

      connection=proxy-server:routingPort

    • Der Abschnitt JCPLIST muss entweder leer bleiben oder er muss die Verbindungsinformationen von anderen Proxy-Servern enthalten:

      JCPLIST

      • JCP1=https://proxy-server1:port
      • JCP2=https://proxy-server2:port

    Darüber hinaus benötigt der Agent das Zertifikat des Proxy-Servers anstelle des Zertifikats des Java-Kommunikationsprozesses (JCP).

Siehe auch: