SSL 和证书

Digital Lab 使您可以使用 SSL 在安全环境中工作,并在必要时应用证书。本节介绍如何使用 SSL 连接。有关在设备上安装证书以访问安全站点的详细信息,请参阅测试需要证书的站点

支持的 SSL 协议

Digital Lab 服务器和连接器支持服务器和连接器之间所有通信的最新 SSL 标准、支持的测试工具 (UFT 1UFT 开发人员、LoadRunner 和 Appium) 和浏览器:

  • TLS v1.2,
  • TLS v1.1,
  • TLS 1.0 版。

后退到顶部

正在连接到 SSL 上的 Digital Lab

安装 UFT Digital Lab 服务器时,可以选择非安全 (HTTP) 或安全 (SSL) 连接。在服务器安装期间选择 SSL 选项时,将在本地 Digital Lab 计算机上自动生成自签名 SSL 证书。或者,也可以从已认证的颁发机构 (CA) 导入证书。有关详细信息,请参阅使用由证书颁发机构颁发的 SSL 证书
ValueEdge Digital Lab/ UFT Digital Lab 受管 SaaS: Digital Lab 服务器的连接是安全的,并且服务器是使用 CA 证书安装的。

要使 Web 浏览器信任服务器提供的证书, SSL 证书必须由已识别的证书颁发机构 (Certificate Authority ,CA) 颁发。自签名证书对数据进行加密,但不提供服务器所有者的可信标识。使用默认自签名证书时,当您首次尝试通过 SSL 访问 Digital Lab 服务器时,浏览器会显示警告或错误。该警告通知您, SSL 证书是由服务器 (而不是 CA) 自签名的。要访问服务器,您需要信任自签名的 SSL 证书。

如果服务器是使用 SSL 选件安装的,则所有连接器和测试工具计算机都必须通过安全连接连接到服务器。在选中启用 SSL 选项的情况下安装连接器时,将在连接器计算机上自动生成自签名证书。当您第一次从浏览器访问连接器时,通过打开设备远程视图,将显示警告。导航连接到连接器 URL,并信任自签名 SSL 证书。或者,也可以从已认证的颁发机构 (CA) 导入证书。有关详细信息,请参阅使用由证书颁发机构颁发的 SSL 证书。有关连接器安装的详细信息,请参阅安装 Windows 计算机上的连接器安装连接器在 Linux 计算机上

还可以将到服务器的连接从非安全重新配置为安全连接 (反之亦然) ,或者更改服务器地址或端口。有关详细信息,请参阅重新配置 Digital Lab 服务器

注: 如果更改服务器上的证书,可能需要在连接器和 Digital Lab 服务器之间重新建立信任。有关详细信息,请参阅使用由证书颁发机构颁发的 SSL 证书

后退到顶部

使用由证书颁发机构颁发的 SSL 证书

在具有安全意识的环境中,最好用可信证书颁发机构 (CA) 颁发的证书替换服务器和连接器上的自签名证书。

ValueEdge Digital Lab/ UFT Digital Lab 受管 SaaS:Digital Lab 服务器的连接是安全的,并且服务器安装时带有 CA 证书。UFT Digital Lab 连接器与自签名证书一起安装。按照本节中详细介绍的过程替换连接器上的自签名证书。

从证书颁发机构获取证书文件后,请确保它包含完整的信任链。信任链是使接收方能够验证发送方证书和所有中间证书是否可信的证书列表。要检测并解决 SSL 证书安装问题,请对“ SSL checker ”执行 Internet 搜索,并使用其中一个联机工具诊断您的问题。

提示: Digital Lab 是一个多主机部署。建议使用通配符为服务器和连接器生成 SSL 证书,而不是为特定主机生成。例如,*.LAB01.TEST.ACME.COM,而不是 MACHINEA.LAB01.TEST.ACME.COM。如果没有通配符,则为特定 FQDN 生成的每个证书都需要在所有浏览器上受信任,并受访问 Digital Lab 的所有 OpenText 测试工具信任。

要导入 SSL 证书,请执行下列操作: 

如果 SSL 证书分为单独的密钥文件和证书文件,请将它们合并为一个 PFX 文件。

下面的示例演示如何组合证书和密钥。运行以下命令在同一台计算机上保存证书:

  1. 确保使用以下命令在计算机上安装了 OpenSSL:

    Linux: 
    在终端窗口输入中,可以查看计算机的 OpenSSL 详细信息:
    rpm -qa | grep -i openssl (rpm)
    dpkg -l | grep -i openssl (deb)

    Windows:
    在命令行窗口中,输入以下内容:

    Copy code
    openssl version –a

    如果安装了 OpenSSL,则会显示 OpenSSL 信息,如日期和版本数量。否则,请下载并安装最新版本的 OpenSSL。

  2. 运行以下命令,将密钥和证书文件转换为一个 PFX 证书:
    Copy code
    openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -descert

  1. 在终端窗口中,将目录更改为服务器/连接器的安全目录:

    < Digital Lab 服务器安装目录的路径>/server/Security

    < Digital Lab 连接器安装目录的路径>/connector/Security
  2. 输入。/importCA.sh 将授权证书导入到服务器。

  3. 输入当前密钥库密码 (默认 .密码) 和来自 CA 的密码。此密码在创建 PFX 文件时生成。 CA 密码将成为新的密钥库密码。将密码存储在安全的位置以供将来访问。

  4. 该脚本将私钥证书添加到密钥库 Hpmc,并将公钥证书添加到信任库 Hpmc。
  5. 重新启动 Digital Lab 服务器/连接器。
  6. 使用 Web 浏览器导航到服务器/连接器地址:
    https://<Digital Lab 服务器/连接器 IP 地址 >: < 端口 >
  7. 验证浏览器中是否显示了正确的 CA 证书。
  1. 导航到服务器/连接器的安全目录:
    < Digital Lab 服务器安装文件夹的路径> \server\Security。
    < Digital Lab 连接器安装文件夹的路径> \connector\Security 。
  2. 输入importCA.bat以将授权证书导入服务器。管理员权限才能运行批处理文件。
  3. 输入当前密钥库密码 (默认 .密码) 和来自 CA 的密码。此密码在创建 PFX 文件时生成。CA 密码将成为新的密钥库密码。将密码存储在安全的位置以供将来访问。

  4. 该脚本将私钥证书添加到密钥库 Hpmc,并将公钥证书添加到信任库 Hpmc。

  5. 重新启动服务/连接器从开始菜单。

  6. 使用 Web 浏览器导航到服务器/连接器地址:
    https://<Digital Lab 服务器/连接器 IP 地址 >: < 端口 >

  7. 验证浏览器中是否显示了正确的 CA 证书。

后退到顶部

在 SSL 连接中的连接器上建立服务器信任

本部分仅与 UFT Digital Lab 服务器安装相关。

当连接器充当连接到 UFT Digital Lab 服务器的客户端时,客户端上需要存在对服务器上证书的信任。此信任最初是在安装连接器的过程中建立的。如果用 CA 颁发的证书替换服务器上的自签名证书,则需要重新建立信任。

如果 CA 是公用的 (如 Verisign) ,则该 CA 已存在于连接器的 truststore 中,并且连接器信任服务器证书。否则,例如,如果 CA 是专用的,则该 CA 还不在连接器的 truststore 中。应将 CA 证书导入到 truststore 中,连接器才能信任服务器证书。要在 Digital Lab 服务器上使用非公用 CA 时建立信任,需要导入颁发服务器证书的证书颁发机构 (Certificate Authority ,CA) 的公用证书,而不是服务器证书本身。若要导入公用证书,请参阅要导入 SSL 证书,请执行下列操作: 

导入此证书后,将在客户端和由此 CA 颁发的任何证书之间建立信任。如果未正确建立此信任,则会出现 SSL 握手失败并发出错误消息。

后退到顶部

为安全 LDAP 配置 Digital Lab

要将 Digital Lab 与安全 LDAP (SSL) 一起使用,请参阅在 Digital Lab 服务器上使用安全 LDAP

后退到顶部

生成新证书

本部分仅与 UFT Digital Lab 服务器安装相关。

在下列情况下,许多人需要生成新的自签名证书:

  • 您正在使用 CA 证书,并希望切换回使用自签名证书
  • 有效期为 3 年的自签名证书已过期。

使用 Security 文件夹中的脚本为服务器生成新证书,如下所示: 

  1. UFT Digital Lab 用户身份日志,并将目录更改为:
    < 指向 UFT Digital Lab server installation directory> /server/Security 的路径
  2. 运行以下命令可在服务器上生成新的自签名证书:
    。/generateSelfSignCertificate.sh
  3. 输入所需的凭据。该脚本将私钥证书添加到密钥库 Hpmc,并将公钥证书添加到信任库 Hpmc。
  4. 重新启动 Digital Lab 服务:
    服务 DL 重新启动

注: 如果 IP 或 FQDN 不可用,则与服务器的连接将失败,您必须重新生成证书。重新生成证书后,还必须修改连接到 Digital Lab 服务器的连接器的配置。有关详细信息,请参阅修改连接器 (Windows)更改连接器的配置 (Linux)重新配置连接器 (Mac)

  1. 开启服务器计算机,导航到:
    < Digital Lab 服务器安装路径> \server\Security
  2. 运行以下批处理文件以在服务器上生成新的自签名证书:
    generateSelfSignCertificate.bat

  3. 输入所需的凭据。

  4. 该脚本将私钥证书添加到密钥库 Hpmc,并将公钥证书添加到信任库 Hpmc。
  5. 重新启动 Digital Lab 服务,通过开始菜单或导航到 <Digital Lab 服务器安装路径 >\scripts\ 并运行restart.bat

注: 如果 IP 或 FQDN 不可用,则与服务器的连接将失败,您必须重新生成证书。重新生成证书后,还必须修改连接到 Digital Lab 服务器的连接器的配置。有关详细信息,请参阅修改连接器 (Windows)更改连接器的配置 (Linux)重新配置连接器 (Mac)

后退到顶部

另请参阅: