Den Proxy installieren

Als Systemadministrator installieren Sie den Proxy-Client und -Server. Diese Installationsanweisungen gelten für Windows und UNIX.

Hinweise:

  • Sie müssen den Proxy auf jedem Computer installieren, auf dem der Proxy-Client oder -Server ausgeführt wird.

  • Überprüfen Sie, welche Java-Version Sie benötigen. Weitere Informationen finden Sie unter Kompatibilitätsinformationen.

  • Verwenden Sie den ServiceManager, um den Proxy-Client und Server als Service zu starten. Weitere Informationen finden Sie unter ServiceManager.

Diese Seite beinhaltet Folgendes:

Übersicht

Die Proxy-Anwendung ermöglicht es Administratoren, die Java-Kommunikationsprozess (JCP)-Verbindungen der Automation Engine-Komponenten (Agenten, AWI-Instanzen, APIs) zu einer Verbindung zu kombinieren und die Richtung, in der die Verbindung aufgebaut wurde, umzukehren.

Die Verbindungen zwischen dem Proxy-Client und dem Server bedingen eine TLS/SSL-Verschlüsselung und -Authentifizierung (im pkcs12-Format). Diese Verbindungen werden nur akzeptiert, wenn beide das gleiche Zertifikat haben. Die TLS/SSL-Authentifizierung kann nicht deaktiviert werden.

Ab dieser Version verwendet die Kommunikation zwischen dem Proxy-Client und dem Java-Kommunikationsprozess (JPC) TLS/SSL über ein sicheres WebSocket (WSS). Der JCP verwendet vertrauenswürdige Zertifikate, um seine Identität anderen Kommunikationspartnern gegenüber nachzuweisen, und benötigt einen Keystore, um mit diesen Zertifikaten zu arbeiten. Deshalb müssen Sie den neuen Java-Kommunikationsprozess (JCP) installieren und konfigurieren und sicherstellen, dass Sie die erforderlichen Zertifikate haben. Weitere Informationen finden Sie unter Installation des JCP und Serverprozesstypen.

Weitere Informationen zu den verschiedenen Zertifikattypen und ausführliche Anweisungen zur Erstellung und Verwendung finden Sie unter Welche Art von Zertifikaten sollte ich für Automic Automation v21 verwenden?

Der Proxy Sie können die Parameter trustedCertFolder=, agentSecurityFolder= und keyPassword= in der INI-Datei des Proxy Wenn der Parameter trustedCertFolder= nicht festgelegt ist, müssen die Zertifikate im Java-Trust Store installiert werden. Weitere Informationen finden Sie unter Verbindungen zur AE sichern (TLS/SSL).

Der Proxy-Server benötigt ein eigenes Zertifikat, das dann an den Ordner übergeben wird, in dem die vertrauenswürdigen Zertifikate für den jeweiligen Agenten gespeichert sind. Dieser Pfad wird im Parameter trustedCertFolder= der jeweiligen Agent-INI-Datei definiert.

Ablauf der Installation

  1. Installieren Sie die Java Standard Edition. Sie können diesen Schritt überspringen, wenn die gewünschte Version der Java Standard Edition bereits verfügbar ist.

    Verwenden Sie den folgenden Befehl, um die aktuelle Version der Java Virtual Machine (VM) auf Ihrem System zu prüfen:

    java -version

    Hinweis: Die Reihenfolge der angegebenen Verzeichnisse ist dann relevant, wenn Sie %PATH% oder $PATH angeben, wenn mehrere Versionen der JRE oder des Java SDK auf Ihrem Computer installiert sind. Es wird die zuerst angeführte Java-Laufzeitumgebung (JRE) verwendet.

  2. Erstellen Sie ein spezifisches Verzeichnis für den Proxy-Server und ein weiteres spezifisches Verzeichnis für den Proxy-Client (z. B. unter Windows C:\Automic\Proxy\bin), und kopieren Sie die bereitgestellten Dateien in das entsprechende Verzeichnis.

    Wichtig! Kopieren Sie die INI-Datei nur in das Verzeichnis des Proxy-Clients. Der Proxy-Server benötigt keine INI-Datei. Weitere Informationen finden Sie unter Proxy INI-Datei.

  3. Erstellen Sie das TLS/SSL-Zertifikat im pkcs12-Format für den Proxy-Server. Dieses Zertifikat wird für die Kommunikation zwischen dem Proxy-Server und dem Proxy-Client verwendet.

    1. Verwenden Sie das Java-Keytool im bin-Ordner des Java-Programmverzeichnisses, um ein selbstsigniertes Zertifikat zu erstellen.

    2. Beispiel

      %JAVA_HOME%\bin\keytool.exe

    3. Der folgende Befehl erstellt die Datei keystore.p12, die ein Zertifikat speichert, das 365 Tage lang gültig ist. Die KeyStore-Datei ist durch das Passwort passwd geschützt.

    4. keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore.p12 –storetype PKCS12 -storepass passwd -validity 365 -keysize 2048

      Sie können das Passwort für keystore.p12 mit dem Programm UCYBCRYP.EXE verschlüsseln. Weitere Informationen finden Sie unter Passwörter codieren.

    5. Geben Sie die Unternehmensinformationen ein.

      Wichtig! Verwenden Sie kein Zertifikat und keinen Schlüssel, der Teil der Schlüsselinfrastruktur Ihres Unternehmens ist, da die Daten an dieser Stelle nicht überprüft werden. Nachdem die Verbindung hergestellt ist, verwenden die Parteien einen ausgehandelten geheimen Schlüssel für die symmetrische Verschlüsselung. Jede unbefugte Partei, die das Zertifikat nach dem Verbindungsaufbau erhält, kann die Kommunikation nicht entschlüsseln, da der symmetrische Schlüssel zufällig ist und bei jedem TLS/SSL-Verbindungsaufbau neu verhandelt wird.

  4. Starten Sie den Proxy-Server (Instanz, die auf dem Agenten läuft, API usw.) mit den folgenden Kommandozeilenparametern:

    • servicePort= Port des Proxy-Server,s mit dem sich der Proxy-Client verbindet. Wenn dieser Parameter nicht angegeben wird, wird automatisch der Standard-Port 4321 verwendet.

    • keyStore= Pfad und Name der KeyStore-Datei

    • keyStorePwd= Passwort der KeyStore-Datei

    Beispiel

    java -cp proxy.jar com.uc4.proxy.Server -keyStore=keystore.p12 -keyStorePwd=passwd -servicePort=4321

    Optional können Sie auch die Befehlszeile verwenden, um die folgenden Parameter für den Proxy-Server zu definieren:

    java -jar com.automic.proxy.server.ProxyServer

    • --certAlias <arg>: Zertifikatalias

      Standard: selbst signiert

    • --helpLib <arg>: Pfad zur Meldungstextbibliothek

      Standard: ./uc.msl

    • --keyPwd <arg>: Schlüsselpasswort

    • --keyStore <arg>: Pfad zum Schlüsselspeicher

    • --keyStorePwd <arg>: Keystore-Passwort

    • --log <arg>: Pfad zur Log-Datei, die für die Protokollierung der Ausgabe verwendet wird

    • --logCount <arg>: Maximale Anzahl von Log-Dateien, die als Verlauf verwendet werden

    • --serviceAddr <arg>: Lokale IP-Adresse. Sie können den Proxy-Server an eine bestimmte Schnittstelle binden.

    • --servicePort <arg>: TCP/IP-Port, den der Proxy-Server verwendet, um den Proxy-Client zu überwachen

      Standard: 4321

    • --trace <arg>: Pfad zur Log-Datei, die für die Protokollierung der Ausgabe verwendet wird

    • --traceLevel <arg>: Ebene der Trace-Ausgabe

      Erlaubte Werte: 0–9

  5. Der Proxy-Client benötigt ein Zertifikat, um eine Verbindung zum Proxy-Server herzustellen, und ein anderes, um eine Verbindung zum JCP in der Automation Engine herzustellen. Stellen Sie sicher, dass beide Zertifikate vorliegen.

    Exportieren Sie das Zertifikat des Proxy-Servers aus dem Keystore und kopieren Sie es auf den Proxy-Client-Host. Sie können den folgenden Befehl verwenden, um das Zertifikat zu exportieren:

    keytool -export
            -keystore KEYSTORE.p12 
            -alias jetty 
            -file proxy.cer  

    Verwenden Sie die Parameter trustedCertFolder=, agentSecurityFolder= und keyPassword= in der jeweiligen INI-Datei, um auf die relevanten Zertifikate zu verweisen. Wenn der Parameter trustedCertFolder= nicht festgelegt ist, sollten die Zertifikate im jeweiligen Speicher installiert werden; das ist der Java-Truststore für Java-Agenten, der Windows-Betriebssystemspeicher für Windows-Agenten oder der TLS/SSL-Speicher für UNIX-Agenten. Weitere Informationen finden Sie unter Verbindungen zur AE sichern (TLS/SSL).

    Weitere Informationen zu den verschiedenen Zertifikattypen und ausführliche Anweisungen zur Erstellung und Verwendung finden Sie unter Welche Art von Zertifikaten sollte ich für Automic Automation v21 verwenden?

  6. Konfigurieren Sie die INI-Datei des Proxy-Clients.

    • Definieren Sie im Abschnitt [GLOBAL] den Server (Proxy-Server) und die Routing-Ports:

      • serverProxy=4321

      • routingPort=2217

    • Optional: Verknüpfen Sie Proxy-Paare mithilfe des Abschnitts [OTHER_SP_LIST] oder definieren Sie Proxy-Segmente mithilfe des Parameters segment= im Abschnitt [GLOBAL] der INI-Datei. Weitere Informationen finden Sie unter Info über Proxy.

  7. Starten Sie den Proxy-Client als Agent, ohne Kommandozeilenparameter einzugeben.

    Beispiel

    java -jar proxy.jar

    Wenn kein anderer Speicherort angegeben wurde, befindet sich die INI-Datei im gleichen Verzeichnis wie die JAR-Datei des Proxy. Verwenden Sie den Parameter -I, um die INI-Datei an einem anderen Ort zu speichern.

    Beispiel

    java -jar proxy.jar -Imy_proxy.ini

    Beim Starten erstellt der Proxy Wenn die Verbindung zum JCP erfolgreich ist, verbindet sich der Proxy-Client mit dem Proxy

    Hinweis: Beim Starten des Proxy-Clients wird eine technische Verbindung zum AE-System hergestellt. Das bedeutet, dass sich der Proxy-Client als Agent mit dem AE-System und dem jeweiligen Kommunikationsprozess verbindet(JCP). Alle Proxy-Clients, die online sind, werden auf der Seite Agent in der Administration-Perspektive angezeigt.

  8. Konfigurieren Sie die INI-Datei des Agenten, der über den Proxy verbunden ist. Weitere Informationen finden Sie unter Agenten.

    • Definieren Sie im Abschnitt [TCP/IP] den Verbindungsendpunkt, der auf den Proxy-Server und den Routing-Port verweisen soll:

      connection=proxy-server:routingPort

    • Der Abschnitt JCPLIST muss entweder leer bleiben oder er muss die Verbindungsinformationen von anderen Proxy-Servern enthalten:

      JCPLIST

      • JCP1=https://proxy-server1:port
      • JCP2=https://proxy-server2:port

    Darüber hinaus benötigt der Agent das Zertifikat des Proxy-Servers anstelle des Zertifikats des Java-Kommunikationsprozesses (JCP).

Siehe auch: