Hinweise zu TLS-/SSL-Zertifikaten

Als Systemadministrator müssen Sie sicherstellen, dass Sie alle TLS/SSL-Anforderungen für Ihre Umgebung kennen.

Übersicht

Die Kommunikation zwischen der Automation Engine und den verschiedenen Komponenten verwendet TLS/SSL über ein sicheres WebSocket (WSS). Diese Komponenten richten eine Verbindung zum Java-Kommunikationsprozess (JCP) und/oder dem REST-Prozess (REST) ein, die vertrauenswürdige Zertifikate verwenden, um ihre Identität gegenüber anderen Kommunikationspartnern nachzuweisen, wie beispielsweise Agenten.

Deshalb müssen Sie entscheiden, welche Art von Zertifikaten Sie verwenden werden, um die Kommunikation in Ihrem System zu sichern. Diese Entscheidung muss sorgfältig durchdacht werden, da sie nicht nur bestimmt, wie sicher die Verbindungen sind, sondern auch die Zeit und den Aufwand, die Sie in die Erneuerung und Bereitstellung der Zertifikate investieren müssen.

Wichtig! TLS/SSL-Agenten (in Containern und vor Ort) sowie das TLS Gateway, wenn sie für die Automic Automation Kubernetes Edition verwendet werden, stellen eine Verbindung zu einem Ingress-/HTTPS-Load-Balancer her, der zur Authentifizierung ein Zertifikat anfordert.

Stellen Sie sicher, dass die Adresse des Load Balancers auf beiden Seiten definiert ist: in der Automation Engine und auf dem Agenten/TLS Gateway, und dass Ihr HTTPS-Load-Balancer die erforderlichen Zertifikate zur Nutzung besitzt. Weitere Informationen finden Sie unter Eine Verbindung zum AWI, die JCP- und REST-Prozesse über einen Ingress herstellen.

Weitere Informationen zu Zertifikaten, Zertifikattypen und allen Aspekten, die Sie vor dem Implementieren von TLS/SSL in Ihrer Umgebung berücksichtigen müssen, finden Sie unter Hinweise zu TLS/SSL für Automic Automation.

Wichtig! Das Erstellen und Verwalten von Zertifikaten ist nicht Aufgabe des Automic Automation-Administrators (es sei denn, Sie verwenden selbstsignierte Zertifikate in einer Testumgebung).

Als Administrator können Sie jedoch verschiedenen Problemen begegnen, für die Sie verantwortlich sind, und die Sie lösen müssen:

• Stellen Sie sicher, dass Sie verstehen, wie TLS/SSL und die verschiedenen Zertifikate funktionieren, damit Sie sie zum Schutz Ihrer Automic Automation-Umgebung verwenden können.

• Wenden Sie sich an die Person oder das Team, die bzw. das für Zertifikate in Ihrem Unternehmen verantwortlich ist, um herauszufinden, welche Optionen Sie für Ihre Automic Automation-Umgebung haben. Befolgen Sie die Verfahren Ihres Unternehmens, um die relevanten Zertifikate zu erhalten.

• Stellen Sie sicher, dass Sie alle benötigten Zertifikate haben und dass die verschiedene Komponenten (AE, AWI, Agenten usw.) diese erreichen können.

• Wenn Sie die Zertifikate nicht am Standardspeicherort des jeweiligen Trust Stores ablegen, stellen Sie sicher, dass Sie den Pfad zum Speicherort der Zertifikate in der Konfigurationsdatei der jeweiligen Komponente definieren.

Ablaufdatum des Zertifikats

Sie müssen sicherstellen, dass die verwendeten Zertifikate nicht nur die jeweiligen Sicherheitsanforderungen erfüllen, sondern auch nicht abgelaufen sind. Andernfalls können die Komponenten keine Verbindung zur Automation Engine herstellen.

Das System prüft das Zertifikatablaufdatum alle 24 Stunden (um Mitternacht UTC). Wenn das Ablaufdatum eines oder mehrerer Zertifikate innerhalb von 30 Tagen liegt, zeigt AWI die folgende Benachrichtigung an: "Die folgenden JCP-Zertifikate laufen innerhalb der nächsten 30 Tage ab: <Zertifikatname (Ablaufdatum)>". Das Ablaufdatum des Zertifikats wird auch beim Start sowie um Mitternacht (UTC) in die JCP-Logdatei geschrieben.

Die Benachrichtigung wird in allen Mandanten aber nur für Benutzer mit dem Recht Zugriff auf Administration angezeigt. Weitere Informationen finden Sie unter Berechtigungen Automation Enginegewähren. Die Benachrichtigung bleibt sichtbar, bis das Zertifikat verlängert wird.

Hinweise:

• AWI zeigt nur eine Benachrichtigung an, selbst wenn mehr als ein Zertifikat abläuft. Alle relevanten Zertifikate werden nacheinander durch ein Komma getrennt nach Ablaufdatum aufgelistet; das Zertifikat, das dem Ablaufdatum am nächsten ist, wird zuerst aufgelistet.

• Nach der Erneuerung des Zertifikats muss der JCP nicht neu gestartet werden.

• Stellen Sie sicher, dass das neue Zertifikat richtig eingestellt ist und dieselbe Definition wie der TLS-Abschnitt der INI-Datei der Automation Engineverwendet, siehe Automation Engine. Andernfalls wird die alte KeyStore-Definition verwendet und der JCP wird nicht gestartet.

Optional können Sie auch die Variable UC_SERVER_TLS_SETTINGS verwenden, um eine benutzerdefinierte Aktion auszulösen, wenn eines dieser Zertifikate kurz vor dem Ablauf steht. Weitere Informationen finden Sie unter UC_SERVER_TLS_SETTINGS – Serverzertifikatsverwaltung.

Informationen zum Erneuern abgelaufener Zertifikate finden Sie unter .

Schulung

Die Broadcom Software Academy bietet zahlreiche kostenlose Online-Schulungen. Informationen dazu, wie Sie innerhalb der Academy navigieren und sich für Kurse anmelden, finden Sie unter Kostenlose Online-Kurse.

Diesem Thema sind die folgenden Kurse zugeordnet:

• Automic Automation TLS und Zertifikate

• Automic Automation TLS Gateway

Installation - Nächster Schritt:

Die AE-Datenbank einrichten

Siehe auch:

• Verbindungen zur AE sichern (TLS/SSL)

• Vorbereitung der manuellen Installation

• Vorbereiten der Container-basierten Installation

• Upgrade-Installation

• Container-basierte Systeme aktualisieren