FME Flow:2025.1

Configuration pour HTTPS

NoteLa tâche décrite ici ne doit être effectuée que par des utilisateurs avancés. Avant de continuer, examinez vos options de solutions alternatives jusqu’à ce que vous soyez certain de vouloir continuer. For additional resources, consult the FME Community or FME Support.
  • Niveau de compétence: Avancé
  • Temps estimé requis: 45-60 minutes
  • Prérequis:
    • Tester les emplois et les services pour garantirFME Flow est entièrement fonctionnel. Pour plus d'informations, voirVérifier l'installation

    • Connaissance des instructions de l'autorité de certification (CA) de votre fournisseur de certificats, notamment pour générer la demande de signature de certificat (CSR).

    • (Recommandé) Familiarité avec la configuration SSL et les certificats de votre serveur d'applications Web. (Apache Tomcat est le servlet pour unExprimer ouTolérant aux pannes l'installation deFME Flow, et en option avec certainsDistribué installations.)
    • (Recommandé) Accès à la personne qui génère vos certificats.
NoteSi vous utilisez le routage des demandes d'application Microsoft IIS (ARR), reportez-vous àceFME Community article.

Configuration pour HTTPS

HTTPS garantit que la communication entre le client et le serveur est cryptée, de sorte que si elle est interceptée, un tiers ne peut pas facilement visualiser ou utiliser les informations. Vous pouvez utiliser HTTPS avecFME Flow pour garantir que les informations de connexion sensibles ne sont pas exposées.

Voici deux méthodes prises en charge pour sécuriserFME Flow avec HTTPS. Pour des méthodes alternatives, telles que l'utilisation d'un certificat auto-signé, voirConfigurationFME Flow pour HTTPS dans leFME Community.

NoteLes instructions suivantes fournissent les étapes de configuration de SSL pour Apache Tomcat, qui est le serveur d'applications inclus avec unExprimer ouTolérant aux pannes l'installation deFME Flow, et en option avec certainsDistribué installations. Les instructions pour configurer SSL sur différents serveurs d’applications Web varient.

Pour plus d'informations sur la configuration d'Apache Tomcat pour HTTPS, ou si vous utilisez une version différente d'Apache Tomcat, consultez la documentation de votre version surhttps://tomcat.apache.org/.

Utilisation d'un certificat émis par une autorité de certification

Cette méthode nécessite que vous génériez une demande de signature de certificat à partir deFME Flow, que votre équipe informatique peut utiliser pour créer un certificat CA avec les extensions .cer ou .crt. Si le certificat utilise l'extension .pfx, suivezUtilisation d'un certificat PFX ou P12 (ci-dessous) à la place.

  1. Créer un script de génération de keystore

    2. Ouvrez un éditeur de texte et copiez l’exemple de script ci-dessous, en remplaçant les valeurs d’argument par les vôtres.

    NoteLepass magasinetpasse-partout les arguments doivent être identiques et comporter au moins 6 caractères.

    keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias <alias> -dname "<nom de domaine>" -storepass <pass magasin > -keypass <passe-partout > -ext san="< san>" -deststoretype pkcs12

    Argument

    Description
    genkey La commande du programme keytool pour générer un nouveau keystore.
    pas d'invite

    L'utilisation de cet argument dans la commande supprime toute interaction avec l'utilisateur.
    keyalg L'algorithme pour générer une paire de clés privée/publique.

    magasin de clés

    		 Le nom du fichier de clés.
    type de magasin de destination Type de magasin de clés,pkcs12 oublagues.
    nom de domaine Le nom CN, l'unité d'organisation, l'organisation, l'emplacement (ville), l'état et le code pays à deux lettres. Le nom distinctif est un ensemble de valeurs utilisées pour créer le certificat et doit être saisi comme vous souhaitez qu'elles soient présentées.FME Flow utilisateurs et visiteurs.
    passe-magasin, passe-clé Le mot de passe de la clé et du keystore. La valeur doit comporter au moins six caractères et doit être la même pour les deux arguments.
    poste san Le nom alternatif du sujet est une manière structurée d'indiquer tous les noms de domaine et adresses IP sécurisés par le certificat.
    alias Le nom de la clé à l'intérieur du magasin de clés en cours de création.

    Exemple:

    keytool -genkey -noprompt -keyalg RSA -keystore tomcat.keystore -alias tomcat -dname "CN=fmeflow.example.org, OU=support, O=SafeSoftware, L=Surrey, S=BC, C=CA" -storepass mot de passe1 -keypass mot de passe1 -ext san="dns:fmeflow.example.org,dns:fmeflow" -deststoretype pkcs12

  2. Exécuter le script de génération du magasin de clés
    1. Ouvrez une invite de commande en tant qu'administrateur et accédez auFME Flow répertoire bin d'installation de Java :

      2. cd <FMEFlowDir>\Utilitaires\jre\bin\

      <FMEFlowDir> est l'emplacement de laFME Flow dossier d'installation.

    2. Exécutez la commande créée à l’étape 1.
  3. Générer une demande de signature de certificat (CSR)

    4. Dans l'invite de commande, restez dans <FMEFlowDir>\Utilities\jre\bin\ et exécutez :

    keytool -certreq -keyalg RSA -alias <alias> -fichier <nom de fichier> -keystore tomcat.keystore -ext san="<san>"

    Spécifiez le chemin de la demande de signature de certificat vers le<nom de fichier>, et mettre à jour <alias> et <san> pour correspondre à l'ensemble de l'étape 1.

    Exemple:

    keytool -certreq -keyalg RSA -alias tomcat -file certreq.csr -keystore tomcat.keystore -ext san="dns:fmeflow.example.org,dns:fmeflow"

  4. Obtenir un certificat

    5. Soumettez le CSR (par exemple, certreq.csr) généré à l'étape 3 à votre autorité de certification pour obtenir un certificat, conformément aux instructions de votre autorité de certification.

  5. Importer le certificat dans le Keystore

    6. Si vous disposez de plusieurs certificats, installez-les dans l’ordre suivant et assurez-vous de mettre à jour l’alias et le chemin du certificat pour chacun.

    1. Importez le certificat racine (si vous en avez un) :

      2. keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file <chemin/nom_fichier_certificat>

    2. Importer le certificat intermédiaire (si vous en avez un) :

      3. keytool -import -alias intermediate -keystore tomcat.keystore -trustcacerts -file <chemin/nom_fichier_certificat>

    3. Importer le certificat :

      4. keytool -import -alias <alias> -keystore tomcat.keystore -trustcacerts -file <chemin/nom_fichier_certificat>

      NoteUtilisez le même<alias> spécifié à l'étape 1.
  6. Importer le Keystore dansFME Flowcertificats de confiance de

    7. Dans une invite de commande, à partir de <FMEFlowDir>\Utilities\jre\bin\, utilisez la commande suivante pour importer le keystore dansFME Flowcertificats de confiance de , spécifiant lesrcstorepassargument avec le mot de passe de l'étape 1.

    keytool -importkeystore -noprompt -srckeystore tomcat.keystore -destkeystore "<FMEFlowDir>\Utilitaires\jre\lib\security\cacerts" -deststorepass changeit -srcstorepass <mot de passe>

    NoteIgnorez l’avertissement indiquant que le type de destination doit être par défaut jks.
  7. Sauvegarder les fichiers de configuration XML de Tomcat

    8. Accédez à <FMEFlowDir>\Utilities\tomcat\conf et effectuez des sauvegardes de server.xml, web.xml et context.xml. Nous vous recommandons cette étape afin que vous puissiez facilement rétablir la configuration à tout moment si nécessaire.

  8. Configurer server.xml
    1. Exécutez un éditeur de texte en tant qu'administrateur et ouvrez server.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf.
    2. Localisez le<Connecteur> élément qui contientprotocole="org.apache.coyote.http11.Http11NioProtocol" et remplacez l'élément entier par :

      3. Copier 
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="443" minSpareThreads="5" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" maxHttpHeaderSize="16384" scheme="https" secure="true" SSLEnabled="true" maxParameterCount="1000" keystoreFile="<file>" keystorePass="<password>" clientAuth="false" sslEnabledProtocols="TLSv1.1,TLSv1.2" sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation" ciphers="TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_AES_128_GCM_SHA256,DHE-RSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA256,DHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES256-SHA,DHE-RSA-AES128-SHA" URIEncoding="UTF8" /> <Connector port="80" protocol="HTTP/1.1" redirectPort="443"/>

      Assurez-vous de mettre à jour lefichier keystoreet keystorePassparamètres de l'emplacement du magasin de clés et du mot de passe définis à l'étape 1. Pour un exemple, voircette référence server.xml. Si le mot de passe contient des caractères XML non valides< > « ' &, ils doivent être échappés.

      Note
      • Pour désactiver TLS 1.1, supprimezTLSv1.1,de laProtocoles SSL activés paramètre.
      • La liste deschiffresn'est pas exhaustive. Si votre certificat a été généré avec un algorithme différent, le chiffrement applicable doit être ajouté. Tous les algorithmes non utilisés peuvent être supprimés en toute sécurité de cette liste. Pour une liste complète des chiffrements pris en charge par Tomcat, consultez leDocumentation de l'API Apache Tomcat 9.0.69.
    3. (Facultatif) Pour modifier le port de communication HTTPS, modifiez443au port souhaité, pour les deuxportetredirectPortdirectives.
    4. Enregistrez et fermez le fichier server.xml.
  9. Configurer web.xml
    1. Ouvrez web.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf.
    2. Ajoutez le bloc de code suivant à la fin du fichier, juste avant la fermeture</web-app> élément:

      3. <contrainte de sécurité>

      <collection-de-ressources-web>

      <web-resource-name>HTTPSOnly</web-resource-name>

      <url-pattern>/*</url-pattern>

      </web-resource-collection>

      <contrainte-de-données-utilisateur>

      <transport-guarantee>CONFIDENTIEL</transport-guarantee>

      </user-data-constraint>

      </contrainte de sécurité>

    3. Enregistrez et fermez le fichier web.xml.
  10. Configurer context.xml
    1. Ouvrez context.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf.
    2. Ajoutez ce qui suit à la fin du fichier, juste avant la fermeture</context> élément:

      3. <Valve className="org.apache.catalina.authenticator.SSLAuthenticator" disableProxyCaching="false" />

    3. Enregistrez et fermez le fichier context.xml.
  11. Mettre à jour leFME Flow URL Web à utiliser HTTPS
    1. Exécutez un éditeur de texte en tant qu’administrateur et ouvrez les fichiersfmeFlowConfig.txt et fmeFlowWebApplicationConfig.txt.
    2. Dans les deux fichiers, mettez à jour leURL_WEB_SERVER_FME directive en changeanthttpà httpset remplacez le port par celui spécifié à l'étape 8.
    3. Enregistrez et fermez les fichiers.
  12. Vérifier la configuration HTTPS
    1. RedémarrageFME Flow.
    2. Ouvrez un navigateur Web et accédez à https://localhost/. Si vous avez configuré Tomcat pour utiliser un port autre que le port standard 443, spécifiez également le port (https://localhost:<port>).
    3. Vous devriez voir leFME Flow page de connexion dans un format sécurisé.
  13. Modifier les URL de service pour utiliser HTTPS

    14. Pour soumettre des offres d'emploi surFME Flow via HTTPS, vous devez activer SSL pour leFME FlowServices Web.

    1. Dans leFME Flow Interface utilisateur Web, ouvrez leServices page.
    2. CliquezChanger tous les hôtes et, dans leModèle d'URL champ, changementHTTPà HTTPS. (FME Flow (vous avez peut-être déjà défini cette modification.) Si nécessaire, modifiez le numéro de port (généralement, SSL est configuré sur le port 8443 ou 443). Une fois terminé, cliquez sur OK .
    3. Courir un échantillonworkspace avec les services de téléchargement de données et de soumission de tâches pour confirmer votreFME Flow fonctionne avec HTTPS.

    TonFME Flow est maintenant configuré pour fonctionner via HTTPS. Cependant, si vous utilisez leServeur WebSocket ouAuthentification Windows intégrée, quelques étapes supplémentaires sont nécessaires.

  14. (Facultatif) Activer SSL sur le serveur WebSocket

    15. LeFME FlowServeur WebSocket prend en charge les connexions non sécurisées (ws://) ou sécurisées (wss://). Cette configuration n'est requise que si vous souhaitez utiliser le serveur WebSocket ouSuivi des sujets (héritage).

    1. Exécutez un éditeur de texte en tant qu'administrateur et ouvrez le fichier fmeWebSocketConfig.txt dans votreFME Flow répertoire d'installation (<FMEFlowDir>\Serveur).
    2. EnsembleWEBSOCKET_ENABLE_SSL=true.
    3. Décommentez leCHEMIN_FICHIER_KEYSTORE_WEBSOCKET directive et définissez-la pour référencer le fichier keystore défini dans server.xml à l'étape 8. Par exemple:

      4. CHEMIN_FICHIER_KEYSTORE_WEBSOCKET=<FMEFlowDir>/Utilitaires/tomcat/tomcat.keystore

      NoteUtilisez des barres obliques, qui peuvent être différentes du chemin dans server.xml.
    4. Décommentez leWEBSOCKET_KEYSTORE_FILE_PASSWORD directive et définissez-la pour référencer le mot de passe du fichier de clés défini dans server.xml à l'étape 8. Par exemple:

      5. WEBSOCKET_KEYSTORE_FILE_PASSWORD=mot de passe1

      NoteNe mettez pas le mot de passe entre guillemets.
    5. Spécifiez les mêmes paramètres pour les directives WEBSOCKET_ENABLE_SSL, WEBSOCKET_KEYSTORE_FILE_PATH et WEBSOCKET_KEYSTORE_FILE_PASSWORD dans les fichiers suivants :
      • <FMEFlowDir>\Server\config\subscribers\websocket.properties
      • <FMEFlowDir>\Server\config\publishers\websocket.properties
    6. In the following files, update the protocol in the value property of the PROPERTY directive from "ws:" to "wss:"
      • <FMESharedResourceDir>\localization\publishers\websocket\publisherProperties.xml
      • <FMESharedResourceDir>\localisation\abonnés\websocket\subscriberProperties.xml
        • Note<FMESharedResourceDir> fait référence à l'emplacement duFME Flow Partage système, spécifié pendantinstallation.
    7. Exécutez les fichiers .bat suivants, situés dans <FMEFlowDir>\Clients\utilitaires :
      • addPublishers.bat
      • addSubscribers.bat
    8. RedémarrageFME Flow.
    9. Pour tester que la configuration est complète,exécuter des tâches et vueSuivi des sujets.
  15. (Facultatif) Mettez à jour l'URL d'authentification SSO pour utiliser HTTPS
    16. NoteCette étape n'est applicable que si vous souhaitez utiliserAuthentification Windows intégrée (authentification unique) pour accéder auFME Flow Interface Web.
    1. Exécutez un éditeur de texte en tant qu'administrateur et ouvrez le fichier de propriétés fmeserver.properties, situé dans <FMEFlowDir>\Utilitaires\tomcat\webapps\fmeserver\WEB-INF\conf\.
    2. Localisez leURL_D'AUTORISATION_D'IDENTIFICATION_UNIQUE paramètre et mettez à jour le nom d'hôte et la partie port de l'URL pour qu'ils correspondent au nom d'hôte via lequel leFME Flow L'interface utilisateur Web est accessible.

      3. Par exemple:

      URL_D'AUTORISATION_DE_SIGNATURE_UNIQUE=https://<MonFMEFlowHost>:443/fmetoken/sso/generate

Utilisation d'un certificat PFX ou P12

Utilisez ces instructions pour configurer votreFME Flow pour HTTPS en utilisant un certificat .pfx ou .p12 obtenu auprès d'une autorité de certification (CA). Si vous n'avez pas de certificat, suivez les instructions pourUtilisation d'un certificat émis par une autorité de certification (ci-dessus) à la place.

  1. Effectuer une sauvegarde des fichiers de configuration XML de Tomcat

    2. Aller à <FMEFlowDir>\Utilities\tomcat\conf et effectuez des sauvegardes de server.xml, web.xml et context.xml.

  2. Configurer server.xml
    1. Exécutez un éditeur de texte en tant qu'administrateur et ouvrez server.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf.
    2. Localisez le<Connecteur> élément qui contientprotocole="org.apache.coyote.http11.Http11NioProtocol" et remplacez l'élément entier par :

      3. Copier 
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="443" minSpareThreads="5" enableLookups="true" disableUploadTimeout="true" acceptCount="100" maxThreads="200" maxHttpHeaderSize="16384" scheme="https" secure="true" maxParameterCount="1000" SSLEnabled="true" keystoreFile="<file>" keystorePass="<password>" keystoreType="PKCS12" clientAuth="false" sslEnabledProtocols="TLSv1.1,TLSv1.2" sslImplementationName="org.apache.tomcat.util.net.jsse.JSSEImplementation" ciphers="TLS_AES_256_GCM_SHA384,TLS_CHACHA20_POLY1305_SHA256,TLS_AES_128_GCM_SHA256,DHE-RSA-AES256-GCM-SHA384,DHE-RSA-AES128-GCM-SHA256,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES256-SHA256,DHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA384,ECDHE-RSA-AES128-SHA256,ECDHE-RSA-AES256-SHA,ECDHE-RSA-AES128-SHA,DHE-RSA-AES256-SHA,DHE-RSA-AES128-SHA" URIEncoding="UTF8" /> <Connector port="80" protocol="HTTP/1.1" redirectPort="443"/>

      Lefichier keystore devrait pointer vers votre certificat .pfx. Nous vous recommandons de conserver ce certificat dansFME FlowRépertoire Tomcat : <FMEFlowDir>\Utilitaires\tomcat\. Assurez-vous que lekeystorePass est défini sur le mot de passe de votre certificat PFX. Si le mot de passe contient des caractères XML non valides< > « ' &, ils doivent être échappés.

      Note
      • Pour désactiver TLS 1.1, supprimezTLSv1.1,de laProtocoles SSL activés paramètre.
      • La liste deschiffresn'est pas exhaustive. Si votre certificat a été généré avec un algorithme différent, le chiffrement applicable doit être ajouté. Tous les algorithmes non utilisés peuvent être supprimés en toute sécurité de cette liste. Pour une liste complète des chiffrements pris en charge par Tomcat, consultez leDocumentation de l'API Apache Tomcat 9.0.69.
    3. (Facultatif) Pour modifier le port de communication HTTPS, modifiez443au port souhaité, pour les deuxportetredirectPortdirectives.
    4. Enregistrez et fermez le fichier server.xml.
  3. Configurer web.xml
    1. Ouvrez web.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf.
    2. Ajoutez le bloc de code suivant à la fin du fichier, juste avant la fermeture</web-app> élément:

      3. <contrainte de sécurité>

      <collection-de-ressources-web>

      <web-resource-name>HTTPSOnly</web-resource-name>

      <url-pattern>/*</url-pattern>

      </web-resource-collection>

      <contrainte-de-données-utilisateur>

      <transport-guarantee>CONFIDENTIEL</transport-guarantee>

      </user-data-constraint>

      </contrainte de sécurité>

    3. Enregistrez et fermez le fichier web.xml.
  4. Configurer context.xml
    1. Ouvrez context.xml, situé dans <FMEFlowDir>\Utilitaires\tomcat\conf.
    2. Ajoutez ce qui suit à la fin du fichier, juste avant la fermeture</context> élément:

      3. <Valve className="org.apache.catalina.authenticator.SSLAuthenticator" disableProxyCaching="false" />

    3. Enregistrez et fermez le fichier context.xml.
  5. Mettre à jour leFME Flow URL Web à utiliser HTTPS
    1. Exécutez un éditeur de texte en tant qu’administrateur et ouvrez les fichiersfmeFlowConfig.txt et fmeFlowWebApplicationConfig.txt.
    2. Dans les deux fichiers, mettez à jour leURL_WEB_SERVER_FME directive en changeanthttpà httpset remplacez le port par celui spécifié à l'étape 2.
    3. Enregistrez et fermez les fichiers.
  6. (Facultatif) Exportez le certificat du navigateur au format base 64 et importez-le dans le magasin de confiance cacerts
    7. NoteCette étape n’est requise que si votre certificat n’a pas été obtenu auprès d’une autorité de certification de confiance. Les instructions peuvent différer légèrement dans un navigateur autre que Chrome.

    un. Redémarrez leFME Flow Service de serveur d'applications

    b. Ouvrez un navigateur et accédez à https://localhost/. Si vous avez configuré Tomcat pour utiliser un port autre que le port standard 443, spécifiez également le port (https://localhost:<port>).

    c. Afficher le certificat depuis le navigateur.

    d. Sélectionnez leDétailstabulation et clicExporter.

    f. Enregistrer sousCertificat unique (CRT) codé en base 64 ASCII sur le disque local (par exemple, <chemin de certification>\mycert.crt)

    f. Importez le keystore dansFME Flowcertificats de confiance de

    Dans une invite de commande, en tant qu'administrateur, changez de répertoire vers <FMEFlowDir>\Utilitaires\jre\bin\. Utilisez la commande suivante pour importer le keystore dansFME Flowcertificats de confiance de :

    keytool -import -trustcacerts -keystore "<FMEFlowDir>\Utilitaires\jre\lib\security\cacerts" -storepass changeit -noprompt -file <chemin de certification>\mycert.crt

  7. Vérifier la configuration HTTPS
    1. RedémarrageFME Flow.
    2. Ouvrez un navigateur Web et accédez à https://localhost/. Si vous avez configuré Tomcat pour utiliser un port autre que le port standard 443, spécifiez également le port (https://localhost:<port>).
    3. Vous devriez voir leFME Flow page de connexion dans un format sécurisé.
  8. Modifier les URL de service pour utiliser HTTPS

    9. Pour soumettre des offres d'emploi surFME Flow via HTTPS, vous devez activer SSL pour leFME FlowServices Web.

    1. Dans leFME Flow Interface utilisateur Web, ouvrez leServices page.
    2. CliquezChanger tous les hôtes et, dans leModèle d'URL champ, changementHTTPà HTTPS. (FME Flow (vous avez peut-être déjà défini cette modification.) Si nécessaire, modifiez le numéro de port (généralement, SSL est configuré sur le port 8443 ou 443). Une fois terminé, cliquez sur OK .
    3. Courir un échantillonworkspace avec les services de téléchargement de données et de soumission de tâches pour confirmer votreFME Flow fonctionne avec HTTPS.

    TonFME Flow est maintenant configuré pour fonctionner via HTTPS. Cependant, si vous utilisez leServeur WebSocket ouAuthentification Windows intégrée, quelques étapes supplémentaires sont nécessaires.

  9. (Facultatif) Activer SSL sur le serveur WebSocket

    10. LeFME FlowServeur WebSocket prend en charge les connexions non sécurisées (ws://) ou sécurisées (wss://). Cette configuration n'est requise que si vous souhaitez utiliser le serveur WebSocket ouSuivi des sujets (héritage).

    1. Exécutez un éditeur de texte en tant qu'administrateur et ouvrez le fichier fmeWebSocketConfig.txt dans votreFME Flow répertoire d'installation (<FMEFlowDir>\Serveur).
    2. EnsembleWEBSOCKET_ENABLE_SSL=true.
    3. Décommentez leCHEMIN_FICHIER_KEYSTORE_WEBSOCKET directive et définissez-la pour référencer le fichier keystore défini dans server.xml à l'étape 2. Par exemple:

      4. CHEMIN_FICHIER_KEYSTORE_WEBSOCKET=<FMEFlowDir>/Utilitaires/tomcat/mycert.pfx

      NoteUtilisez des barres obliques, qui peuvent être différentes du chemin dans server.xml.
    4. Décommentez leWEBSOCKET_KEYSTORE_FILE_PASSWORD directive et définissez-la pour référencer le mot de passe du fichier de clés défini dans server.xml à l'étape 2. Par exemple:

      5. WEBSOCKET_KEYSTORE_FILE_PASSWORD=mot de passe1

      NoteNe mettez pas le mot de passe entre guillemets.
    5. Spécifiez les mêmes paramètres pour les directives WEBSOCKET_ENABLE_SSL, WEBSOCKET_KEYSTORE_FILE_PATH et WEBSOCKET_KEYSTORE_FILE_PASSWORD dans les fichiers suivants :
      • <FMEFlowDir>\Server\config\subscribers\websocket.properties
      • <FMEFlowDir>\Server\config\publishers\websocket.properties
    6. In the following files, update the protocol in the value property of the PROPERTY directive from "ws:" to "wss:"
      • <FMESharedResourceDir>\localization\publishers\websocket\publisherProperties.xml
      • <FMESharedResourceDir>\localisation\abonnés\websocket\subscriberProperties.xml
        • Note<FMESharedResourceDir> fait référence à l'emplacement duFME Flow Partage système, spécifié pendantinstallation.
    7. Exécutez les fichiers .bat suivants, situés dans <FMEFlowDir>\Clients\utilitaires :
      • addPublishers.bat
      • addSubscribers.bat
    8. RedémarrageFME Flow.
    9. Pour tester que la configuration est complète,exécuter des tâches et vueSuivi des sujets.
  10. (Facultatif) Mettez à jour l'URL d'authentification SSO pour utiliser HTTPS
    11. NoteCette étape n'est applicable que si vous souhaitez utiliserAuthentification Windows intégrée (authentification unique) pour accéder auFME Flow Interface Web.
    1. Exécutez un éditeur de texte en tant qu'administrateur et ouvrez le fichier de propriétés fmeserver.properties, situé dans <FMEFlowDir>\Utilitaires\tomcat\webapps\fmeserver\WEB-INF\conf\.
    2. Localisez leURL_D'AUTORISATION_D'IDENTIFICATION_UNIQUE paramètre et mettez à jour le nom d'hôte et la partie port de l'URL pour qu'ils correspondent au nom d'hôte via lequel leFME Flow L'interface utilisateur Web est accessible.

      3. Par exemple:

      URL_D'AUTORISATION_DE_SIGNATURE_UNIQUE=https://<MonFMEFlowHost>:443/fmetoken/sso/generate

FME Flowsur Linux, il inclut un proxy inverse NGINX qui permet une configuration SSL facile et la possibilité de choisir des ports inférieurs à 1024 sans autorisation root. HTTPS est configuré sur le proxy inverse NGINX plutôt que sur le serveur d'applications Web Apache Tomcat.

  1. Créer un répertoire pour le certificat :

    2. sudo mkdir /etc/nginx/ssl

  2. Placez un certificat et une clé dans le nouveau répertoire.
    • Si vous utilisez un certificat émis par une autorité de certification (CA), vous aurez besoin du certificat ou du bundle de certificats (.crt) et de la clé de certificat (.key).

    • Si vous utilisez un certificat .pfx ou .p12, vous devez le convertir au format .crt et .key. Pour plus d'informations, voirConfigurationFME Flow pour HTTPS dans leFME Community.

    • Alternativement, vous pouvez générer un certificat SSL auto-signé et un keystore avec la commande suivante :

      • sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/nginx/ssl/<Nom de clé>.key -out /etc/nginx/ssl/<Nom du certificat >.crt

      Remplacer< Nom de clé > et < Nom du certificat > avec les noms de fichiers de clé et de certificat, respectivement, Par exemple,nginx.key et nginx.crt.

  3. Activer l'échange de clés Diffie-Hellman :

    4. sudo openssl dhparam -out /etc/nginx/ssl/dhparam.pem 2048

    sudo chmod 400 /etc/nginx/ssl/dhparam.pem

  4. Ouvrez le fichier /etc/nginx/conf.d/fmeflow.conf.
  5. Décommentez leserveurbloc contenant des instructions pour écouter sur le port 80 et rediriger vers le port 443. Ce bloc devrait ressembler à ce qui suit :

    6. # Redirection de 80 vers 443 lorsque SSL est activé

    serveur {

    écouter 80;

    nom_serveur <<nom_hôte>>;

     

    emplacement / {

    retourner 301 https://$host$request_uri;

    }

    }

  6. En généralserveurbloquez, commentez la ligne avec les instructions pour écouter sur le port 80 et décommentez les lignes qui demandent d'écouter sur le port 443 avec SSL et incluez la configuration SSL. Une fois terminées, ces lignes devraient apparaître comme suit :

    7. #écouter 80;

    écouter 443 ssl;

    inclure /etc/nginx/fmeflow/ssl.conf ;

  7. Dans leserveur Websocket bloquez, commentez et décommentez les lignes applicables pour garantir que l'écoute se produit sur le port 7078 avec SSL. Une fois terminées, ces lignes devraient apparaître comme suit :

    8. #écouter 7078;

    écouter 7078 ssl;

    inclure /etc/nginx/fmeflow/ssl.conf ;

  8. Enregistrez et fermez le fichier.
  9. Ouvrez le fichier /etc/nginx/fmeflow/ssl.conf et assurez-vous que le certificat SSL et la clé pointent vers le nom et le répertoire corrects de votre certificat, comme défini dans les étapes 1 et 2.
  10. Recharger la configuration NGINX :

    11. service de rechargement nginx

  11. Ouvrez le fichier server.xml en tant qu'administrateur. Ce fichier se trouve dans <FMEFlowDir>\Utilitaires\tomcat\conf.
  12. Mettre à jour leproxyPortdirective à443:

    13. proxyPort="443"

  13. Mettre à jour leschèmedirective àhttps:

    14. schéma="https"

  14. Enregistrez et fermez le fichier.
  15. Ouvrez le fichier de configuration suivant : /opt/fmeflow/Utilities/tomcat/webapps/fmeserver/WEB-INF/conf/propertiesFile.properties
  16. Mettre à jour lePORT_SERVEUR_SOCKET_WEB directive à443:

    17. WEB_SOCKET_SERVER_PORT=443

  17. Enregistrez et fermez le fichier.
  18. Mettre à jour leFME Flow URL Web à utiliser HTTPS :
    1. Exécutez un éditeur de texte en tant qu’administrateur et ouvrez les fichiersfmeFlowConfig.txt et fmeFlowWebApplicationConfig.txt.
    2. À la fin des deux fichiers, sousDÉMARRAGE DES PARAMÈTRES DU SERVEUR FME >Affectations de ports et d'hôtes, mettre à jour le URL_WEB_SERVER_FME directive dehttpà https , et remplacez le port par celui spécifié à l'étape 2.
    3. Enregistrez et fermez les fichiers.
  19. RedémarrageFME Flow.

Voir aussi