---

Hallo,
ich stehe wieder einmal vor einem Problem.
Ich würde gerne den Rich Client 4-tier eine verschlüsselte Verbindung (SSL) zu TC8.3 herstellen.
Laut Dokumentation in "Web Application Deployment Guide" sollten diese Punkte zum Erfolg führen (werden nicht alle punkte gebraucht):

Zitat:

---

• Configuring the application server
• Configuring File Management System (FMS) to use SSL
• Installing the Global Services signer certificate to the Teamcenter rich client
• Installing the Global Services signer certificate to the Teamcenter thin client
• Modifying the Teamcenter Enterprise configuration variables for SSL
• Modifying the Teamcenter preferences for SSL

---

Den application server (bei mir JBoss) habe ich soweit eingestellt (laut Verweis auf JBoss Dokumentation).
An dem Punkte "Configuring FMS" stehe ich jedoch auf dem Schlauch. Ich bekomme ein .KEY und .CSR file erstellt, aber an die .CER file komme ich irgendwie nicht dran.
Habe ich irgendwie was übersehen oder gehe ich den falschen Ansatz entlang?

LG Bazokaa

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

>>Habe ich irgendwie was übersehen oder gehe ich den falschen Ansatz entlang?

Bei solch geringen Informationen fängt wieder das Ratespiel an.
Woher genau stammt denn Dein Zitat?
Das kann ich in der TC_8.3-Online-Hilfe nicht finden.

>>• Modifying the Teamcenter Enterprise configuration variables for SSL

Teamcenter_Enterprise, nicht UA?

>>Ich bekomme ein .KEY und .CSR file erstellt, aber an die .CER file komme ich irgendwie nicht dran.

Ich installiere so selten - hilf mir doch mal auf die Sprünge:
Wo genau ist dieser Schritt beschrieben?

------------------
Rainer Schulze

[Diese Nachricht wurde von Rainer Schulze am 10. Feb. 2014 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hi Rainer,

Zitat:

---

Bei solch geringen Informationen fängt wieder das Ratespiel an.

---

Tut mir leid.
Infos: Teamcenter 8.3.3 Corporate Server (CS), Rich Client 2-Tier, WebTier, Distribution Server und OverTheWeb Installer (zusätzlich J2EE, JBoss und httpd) auf einer VM mit Linux (RadHat) installiert. (Zusätzlich noch NX und NX Templates in Teamcenter integriert, falls es wichtig ist).

Installation und Verbindung vom Rich Client 4T (auf einem lokalen Win7 Rechner) zu TC (CS) funktioniert. Auch die Anbindung an NX läuft soweit ich das beurteilen kann.

Zitat:

---

Woher genau stammt denn Dein Zitat?
Das kann ich in der TC_8.3-Online-Hilfe nicht finden.

---

In der "Teamcenter 8.3 PDF Help Collection" (auf unserem lokalen Laufwerk) unter
Installing --> Web Application Deployment Guide (PDF).
Punkt 3:

Zitat:

---

Global Services Web application deployment . . . . . . . . . . . . . . . . . . . . . 3-1
Creating the Global Services tables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-1
Configure the application server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-3
Configuring Global Services for HTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-15
Configure OSGi plug-in . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-21
Configure the application server for ODE . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-22
Configure ODE to use an Oracle database . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-23

---

Zitat:

---

Teamcenter_Enterprise, nicht UA?

---

Tut mir leid, was meinst du damit?
Da bin ich mir wohl selbst nicht ganz klar was genau damit ist.
TC Enterprise ist doch in UA (Unified Architecture) integriert bzw. irgendwie vereint worden?

Zitat:

---

Ich installiere so selten - hilf mir doch mal auf die Sprünge:
Wo genau ist dieser Schritt beschrieben?

---

In der PDF, die ich oben genannt habe, wird 1. die Konfiguration des application server für SSL beschrieben.
- Create a key store
- Import/identify the certificate authority file to the application server
- Configure SSL listening port
(Instructions for enabling secure socket layer (SSL) on an application server are
provided in the application server documentation.)
Da ich JBoss nutze, habe ich in der Dokumentation von JBoss nachgeschaut und die Einstellungen laut Link gemacht.
Das hat (glaube ich) soweit auch alles gepasst. Der JBoss läuft nun auch unter einem anderen PORT. Getestet habe ich es per Browser, indem ich auf die IP mit https://SERVERNAME:PORT gegangen bin.

Laut Teamcenter Doku soll nun der File Management System für SSL eingestellt werden:
- Generate a key store and private key
- Obtain a signed certificate
- Update FSC and FMS configuration

Und dann:
- Configure Global Services application as a trusted client
- Install the Global Services signer certificate to Teamcenter rich client
- Configure the Teamcenter Enterprise Global Services end point variable
- Modify Teamcenter preferences for SSL

Ich bin mir unschlüssig, wie ich weiter vorgehen soll.

Wenn ich die FMS für SSL konfigurieren muss, benötige ich einen .key (private key) und .csr (from private key), welche ich mit "keytool" selbst erstellen kann. Dann soll ich die den aber bei einer CA beglaubigen lassen und eine .cer erhalten. Hier stehe ich schon auf dem schlauch.

LG Bazokaa

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

>> Dann soll ich die den aber bei einer CA beglaubigen lassen und eine .cer erhalten. Hier stehe ich schon auf dem schlauch.

CA = Certification Agency
-> http://www.verisign.com/

Sichere Web-Verbindungen werden üblicherweise für den Verkehr über das öffentliche Internet verwendet.
Die "CA" stellt Zertifikate bereit für registrierte Adressen, um sicher zu stellen, dass da beim Verbindungsaufbau keine Mogeleien mit gefälschten Adressen geschehen.

Worin aber ist Dein besonderes Sicherheitsbedürfnis begründet?
Firmennetze sind entweder auf lokale Stanndorte beschränkt oder sie verwenden als Sicherheitsmechanismus VPN für die Verbindung zwischen getrennten Standorten. Hierbei soll VPN ja die Vertrauenswürdigkeit sicher stellen.

------------------
Rainer Schulze

[Diese Nachricht wurde von Rainer Schulze am 10. Feb. 2014 editiert.]

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Zitat:

---

Original erstellt von Bazokaa:
....Wenn ich die FMS für SSL konfigurieren muss, benötige ich einen .key (private key) und .csr (from private key), welche ich mit "keytool" selbst erstellen kann. Dann soll ich die den aber bei einer CA beglaubigen lassen und eine .cer erhalten. Hier stehe ich schon auf dem schlauch. ....

---

Schon in der Forumansicht unter "Suche:" "SSL" eingegeben ?

Wie man das mit dem Certificate machen kann wird in mindestens einem Beitrag beschrieben.
Im uganswer hab ich auch schon was dazu gesehen aber nach wir nur http verwenden hats mich nicht im Detail interessiert ...

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo Rainer,

Zitat:

---

Sichere Web-Verbindungen werden üblicherweise für den Verkehr über das öffentliche Internet verwendet.
Die "CA" stellt Zertifikate bereit für registrierte Adressen, um sicher zu stellen, dass da beim Verbindungsaufbau keine Mogeleien mit gefälschten Adressen geschehen.

Worin aber ist Dein besonderes Sicherheitsbedürfnis begründet?
Firmennetze sind entweder auf lokale Stanndorte beschränkt oder sie verwenden als Sicherheitsmechanismus VPN für die Verbindung zwischen getrennten Standorten. Hierbei soll VPN ja die Vertrauenswürdigkeit sicher stellen.

---

Kann ich mir nicht meine eigene Zertifikat erstellen ohne CA oder mich selbst als CA ausgeben?
Das Interesse an der Sicherheit besteht Hauptsächlich im Bereich des Testen und Wissenserweiterung, sowie die allgemeine Vorgehensweise und Verständnis.

Nur nochmal zum festhalten, dass ich das Konzept richtig verstanden habe. Der Rich Client 4T baut doch die Verbindung über http(s) zu TC-Server über den application server auf. Bei mir JBoss. JBoss hat einer interne Verbindung zu dem Pool Manager (mgrstartMYDB), welche über PORT 17800 bzw 17810 geht. Das heißt doch, dass ich erst mal nur die Verbindung zwischen Client 4T und  TC application server (JBoss) sichern will. Was intern passiert, sollte erst einmal zurückgestellt werden.
Als nächstes sollte/muss ich die Verbindung zwischen FSC/FMS, welche über einen anderen Port (4544) läuft, sichern. 

Hallo Thomas,

Zitat:

---

Schon in der Forumansicht unter "Suche:" "SSL" eingegeben ?

Wie man das mit dem Certificate machen kann wird in mindestens einem Beitrag beschrieben.
Im uganswer hab ich auch schon was dazu gesehen aber nach wir nur http verwenden hats mich nicht im Detail interessiert ...

---

Habe ich glaube ich schon mal geschaut, aber werde ich morgen auf jedenfall nochmal durchstöbern, da ich mit meinem Latein am Ende bin :/

Ich danke euch zwei an dieser Stelle schon mal.

LG Bazokaa

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Ist hier von tömme sehr ausführlich beschrieben wie man ein Certifikat erstellt, dass muss man auch nicht kaufen, kann man selber machen....

http://ww3.cad.de/foren/ubb/Forum86/HTML/000751.shtml

pffffffffffff............. für die SECURITY SERVICES ist glaube ich auch nicht alles Documentiert, da fehlen immer wieder zwischen Schritte.... bin mir da aber auch nicht mehr ganz sicher...... ich kann dir aber jetzt auch nicht 18 Seiten unserer Documentation hochladen, das geht leider nicht...

Ohne jetzt Schleichwerbung zu machen.....kann ich dir Prion (neu accenture) empfehlen, die wissen genau wie es geht 

------------------
“Vision without action is a daydream. Action without vision is a nightmare.”

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

>>Das Interesse an der Sicherheit besteht Hauptsächlich im Bereich des Testen und Wissenserweiterung

Dann würde ich da nicht allzu viel Mühe reinstecken.
Teamcenter bringt mich durch seine Vielfalt trotz jahrelanger Erfahrung immer wieder mal an meine Grenzen. Das bringt mich dazu, mich auf die wirklich wichtigen Dinge zu konzentrieren.

>> Was intern passiert, sollte erst einmal zurückgestellt werden.

Was intern passiert, muss keinesfalls "gesichert" werden.

------------------
Rainer Schulze

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP

---

Hallo,
ich wollte mich mal wieder zurückmelden und einige Punkte ansprechen.

Ich habe es geschafft, dass der 4T-Client sich mit dem Application Server (JBOSS) per https verbindet. Ebenfalls habe ich es geschafft, dass NX sich über https verbindet.
Auf Server Seite habe ich eine JavaKeyStore erstellt, diesen in JBOSS Konfiguration eingebunden und https aktiviert.
Aus dem JavaKeyStore habe ich ein Zertifikat exportiert und auf dem Client kopiert. Diese habe ich dann in die „cacerts“ des JDK importiert.
Eine neue „OverTheWeb Installer“ erstellt, mit Einstellungen für https Verbindung und auf dem Client installiert.
Überprüft habe ich das alles mit Hilfe von „netstat –nat“ ob wirklich die entsprechenden Ports angesprochen werden.
Soweit sogut.

Nun bin ich daran, den FCC-FMS-FSC zu verschlüsseln. Dies klappt jedoch nicht. Laut Siemens Dokumentation, soll der JavaKeyStore in „fsc.properties“ mit folgenden punkten ergänzt werden:

Code:

---

com.teamcenter.fms.servercache.keystore.file=/temp/keystore.jks
com.teamcenter.fms.servercache.keystore.password=changeit
com.teamcenter.fms.servercache.keystore.ssl.certificate.password=changeit

---

und die „fmsmaster_FSC_HOSTNAME_username.xml“ angepasst werden.
Client seitig kann ich doch nur in der FCC.xml die Konfiguration einstellen.
Wenn ich das soweit mache, bekomme ich beim Auschecken der Items eine Fehlermeldung

Code:

---

Datei /usr/volume/dba_.../[dateiname+text] kann nicht erstellt werden.
FSC-Proxy-Fehler: „FSC_Send error on verifyFileExists step ./veridyFileExists/nvargs/ , <fcs_error> 60 : CURLE_SSL_CACERT

---

Ebenfalls bei Dataset-Erstellung bekomme ich eine Fehlermeldung

Code:

---

Datei /usr/volume/dba _.../[dateiname+text] kann nicht erstellt werden

---

Ich habe aber das Gefühl, dass ich auf Client Seite irgendwo das Zertifikat ebenfalls dem FCC-Dienst übergeben werden muss, welches ich aber in der Dokumentation nirgends gefunden habe.
Wenn ich die SSL Verschlüsselung zwischen FCC – FMS wieder deaktiviere, funktioniert alles wieder einwandfrei.
Ebenfalls ist mir aufgefallen, dass der Fehler auf dem 2T-Client auftritt, wenn ich die FCC-FMS Verschlüsselung aktiviere. Auf dem 2T-Client habe ich aber auch nirgendswo das Zertifikat importiert bzw. angegeben.
Ich wäre für jede Hilfe sehr dankbar!
LG Bazokaa
 

Eine Antwort auf diesen Beitrag verfassen (mit Zitat/Zitat des Beitrags) IP