關於 SSL 和 Build Forge 元件

依預設,Build Forge 元件會設定為在啟用 SSL 時,使用特定的埠和安全設定。

預設 SSL 設定

當您使用預設憑證時,啟用 SSL 相對簡單。本節的程序是以該實務範例為基礎。

不過,通常在每一個系統上使用相同的憑證(私密金鑰)並不明智。如果其中一個系統上的私密金鑰受損,整個基礎架構也可能受損。您可以強制實施實體安全來減少受損的機會。

更安全的系統會對每一個處理程序都使用一個憑證。在 Build Forge 中,這表示您要執行下列動作:

  • 建立每一個代理程式的憑證。
  • 建立每一個引擎的憑證。這適用於設定備用功能的狀況。請參閱配置備用功能
這項設定需要其他憑證管理。您有幾個選擇:

以下各節識別在強制實施 SSL 安全的 Build Forge 系統中的介面。

用戶端介面

使用者會透過用戶端介面來存取 Build Forge 系統。

Build Forge 的 Web 用戶端
Web 用戶端會透過其 Apache Web 伺服器來存取 Build Forge。當您啟用 SSL 並使用啟用安全的 Web 瀏覽器時,會使用下列介面。
  • Apache Web 伺服器埠 443
    Web 用戶端會透過其 URL 來存取 Build Forge。當您啟用 SSL 時,URL 如下所示:
    https://host/
    host 是其中執行 Build Forge 的主機。如果您設定 443 以外的埠來對 Apache 進行安全存取,使用者也必須指定埠:
    https://host:port/

    Web 用戶端會重新導向至在 Apache Tomcat 伺服器上執行的鑑別 Servlet。

  • Apache Tomcat 應用程式伺服器埠 8443

    鑑別 Servlet 會接受登入認證並鑑別使用者。該 Servlet 會加密認證,因此其在連線中絕不會以明碼出現。

Apache Tomcat Servlet 所使用的接聽器埠配置,是透過配置檔來管理。此檔案位於 <bfinstall>/Apache/tomcat/conf/server.xml 中。請找出下列連接器配置。
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509"
    maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
    enableLookups="false" disableUploadTimeout="true"
    acceptCount="100" scheme="https" secure="true"
    clientAuth="false" sslProtocol="SSL_TLS"
    keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
    keystorePass="password"
    keystoreType="PKCS12"
    truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12"
    truststorePass="password"
    truststoreType="PKCS12"/>
Build Forge 的 API 程式用戶端
  • Apache Tomcat 應用程式伺服器埠 49150

    API 用戶端會透過其服務層元件(這是一個在 Apache Tomcat 應用程式伺服器上執行的應用程式)來存取 Build Forge。API 用戶端需具備有效的 bfclient.conf 檔。

    服務層元件會使用 SSL 配置來進行入埠通訊。其定義在 Build Forge 主控台的管理 > 安全 > SSL 中。使用的預設值為預設 JSSE 入埠 SSL

內部介面

Build Forge 是由 Web 介面元件(Apache Web 伺服器和 PHP)、服務層元件和引擎元件所組成。Web 介面和引擎元件是服務層元件的用戶端。API 程式用戶端也是服務層元件的用戶端。

服務層級入埠

Apache Tomcat 應用程式伺服器埠 49150

服務層元件會使用 SSL 配置來進行入埠通訊。其定義在 Build Forge 主控台的管理 > 安全 > SSL 中。使用的預設值為預設 JSSE 入埠 SSL

出埠服務層用戶端

Apache Tomcat 應用程式伺服器埠 49150

Web 介面元件(透過 PHP)和引擎元件兩者都使用一個 SSL 配置,來專用於服務層元件的出埠通訊。其定義在 Build Forge 主控台的管理 > 安全 > SSL 中。使用的預設值為預設 JSSE 出埠 SSL

用戶端出埠配置和服務層入埠配置的 SSL 內容必須相容,SSL 信號交換才能成功。管理 > 安全 > SSL類型信號交換通訊協定內容必須相符。

每一個 SSL 配置都有一個參照金鑰儲存庫配置:

配置是以名稱來指定。您可以在管理 > 安全 > SSL中定義它們。系統提供了一些預設值。

外部介面

外部介面是 Build Forge 用來與外部系統交談的介面。
  • Build Forge 引擎會與代理程式通訊。
  • Build Forge 服務層元件會與資料庫通訊。
Build Forge 引擎至代理程式通訊
對這個介面啟用 SSL 需要下列項目:
  • 代理程式的配置。它要求變更代理程式配置檔,並將憑證放在代理程式主機上。
  • 對使用代理程式的每一個「伺服器」資源啟用 SSL 通訊。您可以在伺服器畫面的主控台中執行這項作業。

請參閱啟用 SSL 來進行代理程式通訊

Build Forge 服務層元件至資料庫通訊
這個介面的 SSL 配置定義在資料庫的裝置驅動程式中。

意見