共享此页
SSL 和证书
OpenText Functional Testing Lab 使您可以使用 SSL 在安全环境中工作,并在必要时应用证书。本节介绍如何使用 SSL 连接。有关在设备上安装证书以访问安全站点的详细信息,请参阅测试需要证书的站点。
支持的 SSL 协议
服务器和连接器支持用于服务器和连接器之间所有通信的最新 SSL 标准,支持 OpenText 测试工具/Appium 和浏览器:
- TLS v1.2,
- TLS v1.1,
- TLS v1.0。
SSL 连接
在安装 OpenText Functional Testing Lab 服务器时,您可以选择非安全的 HTTP 连接或者安全的 SSL 连接。在服务器安装期间选择 SSL 选项时,将在本地 OpenText Functional Testing Lab 计算机上自动生成自签名 SSL 证书。或者,也可以从已认证的颁发机构 (CA) 导入证书。有关详细信息,请参阅使用由证书颁发机构颁发的 SSL 证书。
OpenText Core SDP / OpenText Core Functional Testing Lab 该实验室服务器的连接很安全,且安装有 CA 证书。
要使 Web 浏览器信任服务器提供的证书, SSL 证书必须由已识别的证书颁发机构 (Certificate Authority ,CA) 颁发。自签名证书对数据进行加密,但不提供服务器所有者的可信标识。使用默认自签名证书时,当您首次尝试通过 SSL 访问 OpenText Functional Testing Lab 服务器时,浏览器会显示警告或错误。该警告通知您, SSL 证书是由服务器 (而不是 CA) 自签名的。要访问服务器,您需要信任自签名的 SSL 证书。
如果服务器是使用 SSL 选件安装的,则所有连接器和测试工具计算机都必须通过安全连接连接到服务器。在选中启用 SSL 选项的情况下安装连接器时,将在连接器计算机上自动生成自签名证书。当您第一次从浏览器访问连接器时,通过打开设备远程视图,将显示警告。导航连接到连接器 URL,并信任自签名 SSL 证书。或者,也可以从已认证的颁发机构 (CA) 导入证书。有关详细信息,请参阅使用由证书颁发机构颁发的 SSL 证书。有关连接器安装的详细信息,请参阅安装 Windows 计算机上的连接器或安装连接器在 Linux 计算机上。
还可以将到服务器的连接从非安全重新配置为安全连接 (反之亦然) ,或者更改服务器地址或端口。有关详细信息,请参阅重新配置服务器。
注: 如果更改服务器上的证书,可能需要在连接器和服务器之间重新建立信任。有关详细信息,请参阅使用由证书颁发机构颁发的 SSL 证书。
使用由证书颁发机构颁发的 SSL 证书
在具有安全意识的环境中,最好用可信证书颁发机构 (CA) 颁发的证书替换服务器和连接器上的自签名证书。
OpenText Core Software Delivery Platform /OpenText Core Functional Testing Lab : 与服务器的连接是安全的,并且服务器是使用 CA 证书安装的。连接器与自签名证书一起安装。按照本节中详细介绍的过程替换连接器上的自签名证书。
从证书颁发机构获取证书文件后,请确保它包含完整的信任链。信任链是使接收方能够验证发送方证书和所有中间证书是否可信的证书列表。要检测并解决 SSL 证书安装问题,请对“ SSL checker ”执行 Internet 搜索,并使用其中一个联机工具诊断您的问题。
提示: OpenText Functional Testing Lab 是一个多主机部署。建议使用通配符为服务器和连接器生成 SSL 证书,而不是为特定主机生成。例如,*.LAB01.TEST.ACME.COM,而不是 MACHINEA.LAB01.TEST.ACME.COM。如果没有通配符,则为特定 FQDN 生成的每个证书都需要在所有浏览器上受信任,并受访问 OpenText Functional Testing Lab 的所有 OpenText 测试工具信任。
如果 SSL 证书分为单独的文件 (密钥和证书)
如果 SSL 证书分为单独的密钥文件和证书文件,请将它们合并为一个 PFX 文件。
下面的示例演示如何组合证书和密钥。运行以下命令在同一台计算机上保存证书:
- 确保使用以下命令在计算机上安装了 OpenSSL:
Linux:
在终端窗口输入中,可以查看计算机的 OpenSSL 详细信息:rpm -qa | grep -i openssl (rpm)
dpkg -l | grep -i openssl (deb)Windows:
在命令行窗口中,输入以下内容:Copy codeopenssl version –a如果安装了 OpenSSL,则会显示 OpenSSL 信息,如日期和版本数量。否则,请下载并安装最新版本的 OpenSSL。
- 运行以下命令,将密钥和证书文件转换为一个 PFX 证书: Copy code
openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt -descert
在 Linux 服务器或连接器上导入 CA 证书
- 在终端窗口中,将目录更改为服务器/连接器的安全目录:
< OpenText Functional Testing Lab 服务器安装目录的路径>/server/Security< OpenText Functional Testing Lab 连接器安装目录的路径>/connector/Security - 输入
。/importCA.sh将授权证书导入到服务器。 -
输入当前密钥库密码 (默认 .密码) 和来自 CA 的密码。此密码在创建 PFX 文件时生成。 CA 密码将成为新的密钥库密码。将密码存储在安全的位置以供将来访问。
- 该脚本将私钥证书添加到 keyStoreHpmc,并将公钥证书添加到 trustStoreHpmc。
- 重新启动服务器/连接器。
- 使用 Web 浏览器,转到服务器/连接器地址:
https://<OpenText Functional Testing Lab 服务器/连接器 IP 地址>:<端口> - 验证浏览器中是否显示了正确的 CA 证书。
在 Windows 服务器或连接器上导入 CA 证书
- 导航到服务器/连接器的安全目录:
< OpenText Functional Testing Lab 服务器安装文件夹的路径> \server\Security。< OpenText Functional Testing Lab 连接器安装文件夹的路径> \connector\Security 。 - 输入
importCA.bat以将授权证书导入服务器。管理员权限才能运行批处理文件。 - 输入当前密钥库密码 (Default. 密码) 和来自 CA 的密码。此密码在创建 PFX 文件时生成。CA 密码将成为新的密钥库密码。将密码存储在安全的位置以供将来访问。
-
该脚本将私钥证书添加到 keyStoreHpmc,并将公钥证书添加到 trustStoreHpmc。
- 从开始菜单重新启动服务/连接器。
-
使用 Web 浏览器,转到服务器/连接器地址:
https://<OpenText Functional Testing Lab 服务器/连接器 IP 地址 >: < 端口 > -
验证浏览器中是否显示了正确的 CA 证书。
在运行 importCA 脚本时解决与旧密码有关的错误
运行 importCA 脚本时,可能会出现错误: “40F7521FC47F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../crypto/evp/evp_fetch.c:349:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()”
此错误是由于尝试将使用加密算法的 .p12 或 .pfx 文件从较早的 OpenSSL 版本导入到较新的版本导致的。
要避免此问题,您可以重新加密 pfx 文件。
要更新 pfx 文件,请执行下列操作:
备注: 如果在 Windows 上使用 OpenText Functional Testing Lab server/connector, 中包含的 openssl 运行这些命令,则创建包含 openssl 模块路径的 OPENSSL_MODULES 环境变量: < OpenText Functional Testing Lab > \ openssl \ lib \ ossl - modules。
例如: set OPENSSL_MODULES=C:\Program Files\Functional Testing Lab for Mobile and Web Server Server\server\openssl\lib\ossl-modules
-
使用旧式模式解密原始 .p12/.pfx 文件以处理旧密码。
Copy codeopenssl pkcs12 -legacy -in Certificate.pfx -nodes -out cert-decrypted.tmp -
使用较新的 OpenSSL 版本将解密的文件重新加密为新的 .p12/.pfx 文件。
Copy codeopenssl pkcs12 -in cert-decrypted.tmp -export -out NewCertificate.pfx -
要清除的临时解密文件的移除
Windows:
Copy codedel cert-decrypted.tmpLinux:
Copy coderm cert-decrypted.tmp
本文档与 OpenText Core SDP 和 OpenText Core Functional Testing Lab 无关。
当连接器充当连接到 OpenText Functional Testing Lab 服务器的客户端时,客户端上需要存在对服务器上证书的信任。此信任最初是在安装连接器的过程中建立的。如果用 CA 颁发的证书替换服务器上的自签名证书,则需要重新建立信任。
如果 CA 是公用的 (如 Verisign) ,则该 CA 已存在于连接器的信任库中,并且连接器信任服务器证书。否则,例如,如果 CA 是专用的,则该 CA 还不在连接器的信任库中。应将 CA 证书导入到信任库中,连接器才能信任服务器证书。若要在实验室服务器上使用非公用 CA 时建立信任,需要导入颁发服务器证书的证书颁发机构 (CA) 的公用证书,而不是服务器证书本身。若要导入公用证书,请参阅要导入 SSL 证书,请执行下列操作:
导入此证书后,将在客户端和由此 CA 颁发的任何证书之间建立信任。如果未正确建立此信任,则会出现 SSL 握手失败并发出错误消息。
为安全 LDAP 配置实验室
要将 OpenText Functional Testing Lab 与安全 LDAP (SSL) 一起使用,请参阅使用安全 LDAP。
生成新证书
本文档与 OpenText Core SDP 和 OpenText Core Functional Testing Lab 无关。
在下列情况下,许多人需要生成新的自签名证书:
- 您正在使用 CA 证书,并希望切换回使用自签名证书
- 有效期为 3 年的自签名证书已过期。
使用 Security 文件夹中的脚本为服务器生成新证书,如下所示:
Linux
- 以 OpenText Functional Testing Lab 用户身份日志,并将目录更改为:
< OpenText Functional Testing Lab 服务器安装目录的路径>/server/Security - 运行以下命令可在服务器上生成新的自签名证书:
./generateSelfSignCertificate.sh - 输入所需的凭据。该脚本将私钥证书添加到密钥库 Hpmc,并将公钥证书添加到信任库 Hpmc。
- 重新启动实验室服务:
service dl restart
注: 如果 IP 或 FQDN 不可用,则与服务器的连接将失败,您必须重新生成证书。重新生成证书后,还必须修改连接到 OpenText Functional Testing Lab 服务器的连接器的配置。有关详细信息,请参阅修改连接器 (Windows)、更改连接器的配置 (Linux)或重新配置连接器 (Mac)。
Windows
- 在服务器计算机上,转到:
< OpenText Functional Testing Lab 服务器安装路径> \server\Security - 运行以下批处理文件以在服务器上生成新的自签名证书:
generateSelfSignCertificate.bat -
输入所需的凭据。
- 该脚本将私钥证书添加到密钥库 Hpmc,并将公钥证书添加到信任库 Hpmc。
- 通过“开始”菜单或者通过导航到
< Path to OpenText Functional Testing Lab server installation > \ scripts \并运行restart .bat来重新启动这爬网服务。
注: 如果 IP 或 FQDN 不可用,则与服务器的连接将失败,您必须重新生成证书。重新生成证书后,还必须修改连接到 OpenText Functional Testing Lab 服务器的连接器的配置。有关详细信息,请参阅修改连接器 (Windows)、更改连接器的配置 (Linux)或重新配置连接器 (Mac)。
另请参阅:
