关于 SSL 和 Build Forge 组件

缺省情况下,Build Forge 组件设置为在启用 SSL 时使用某些端口和安全性设置。

缺省 SSL 设置

使用缺省证书时,启用 SSL 相对比较简单。 本部分中的过程均基于该情况。

但是,通常建议不要在每个系统上使用相同的证书(专用密钥)。如果一个系统上的专用密钥泄密,那么可能危及整个基础结构的安全。通过强制实施物理安全性可以减少泄密的机会。

更安全的系统对于每个进程都使用一个证书。在 Build Forge 中,意味着您将执行以下操作:

  • 为每个代理程序创建证书。
  • 为每个引擎创建证书。设置冗余时,这是适用的。请参阅配置冗余
此设置需要更多的证书管理。可以选择:

以下部分说明 Build Forge 系统中强制实施 SSL 安全性的接口。

客户机接口

用户通过客户机接口访问 Build Forge 系统。

Web 客户机访问 Build Forge
Web 客户机通过其 Apache Web 服务器访问 Build Forge。 当启用 SSL 并使用启用安全性的 Web 浏览器时,将使用以下接口。
  • Apache Web 服务器端口 443
    Web 客户机通过其 URL 访问 Build Forge。启用 SSL 时,该 URL 为以下格式:
    https://host/
    host 是 Build Forge 运行的主机。如果设置 443 以外的端口用于对 Apache 进行安全访问,那么用户还必须指定端口:
    https://host:port/

    Web 客户机将重定向至在 Apache Tomcat 服务器上运行的认证 servlet。

  • Apache Tomcat 应用程序服务器端口 8443

    认证 servlet 接受登录凭证并认证用户。servlet 对凭证加密,以便凭证不会通过线路以明文格式显示。

Apache Tomcat servlet 所使用的侦听器端口的配置通过配置文件进行管理。配置位于 <bfinstall>/Apache/tomcat/conf/server.xml 中。 查找以下连接器配置。
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509" 
    maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
    enableLookups="false" disableUploadTimeout="true"
    acceptCount="100" scheme="https" secure="true"
    clientAuth="false" sslProtocol="SSL_TLS" 
    keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
    keystorePass="password" 
    keystoreType="PKCS12" 
    truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12" 
    truststorePass="password" 
    truststoreType="PKCS12"/>
API 程序客户机访问 Build Forge
  • Apache Tomcat 应用程序服务器端口 49150

    API 客户机通过其服务层组件(运行在 Apache Tomcat 应用程序服务器上的应用程序)访问 Build Forge。API 客户机需要具有有效的 bfclient.conf 文件。

    服务层组件使用 SSL 配置以进行入站通信。 该配置在 Build Forge 控制台中定义(管理 > 安全性 > SSL)。使用的缺省值为缺省 JSSE 入站 SSL

内部接口

Build Forge 由 Web 接口组件(Apache Web 服务器和 PHP)、服务层组件和引擎组件构成。 Web 接口和引擎组件是服务层组件的客户机。API 程序客户机也是服务层组件的客户机。

服务层入站

Apache Tomcat 应用程序服务器端口 49150

服务层组件使用 SSL 配置以进行入站通信。 该配置在 Build Forge 控制台中定义(管理 > 安全性 > SSL)。使用的缺省值为缺省 JSSE 入站 SSL

服务层客户机出站

Apache Tomcat 应用程序服务器端口 49150

Web 接口组件(通过 PHP)和引擎组件都使用 SSL 配置,该 SSL 配置专用于至服务层组件的出站通信。该配置在 Build Forge 控制台中定义(管理 > 安全性 > SSL)。所使用的缺省值为缺省 JSSE 出站 SSL

要使 SSL 握手能够成功,客户机出站配置和服务层入站配置的 SSL 属性必须兼容。管理 > 安全性 > SSL类型握手协议属性必须匹配。

每个 SSL 配置具有引用密钥库配置:

按名称指定配置。可以在管理 > 安全性 > SSL 中定义这些配置。提供了若干缺省值。

外部接口

外部接口是 Build Forge 用于与外部系统对话的接口。
  • Build Forge 引擎与代理程序进行通信。
  • Build Forge 服务层组件与数据库进行通信。
Build Forge 引擎与代理程序通信
为该接口启用 SSL 需要以下操作:
  • 配置代理程序。它需要在代理程序配置文件中进行一处更改,并将证书置于代理程序主机上。
  • 对使用代理程序的每个服务器资源启用 SSL 通信。在控制台上的 服务器面板中执行该操作。

请参阅为代理程序通信启用 SSL

Build Forge 服务层组件与数据库的通信
该接口的 SSL 配置在数据库的设备驱动程序中进行定义。

反馈