La nostra organizzazione vuole aumentare la sicurezza dell'istanza Solr quando si utilizza il nuovo FullText Service.
Soluzione:
Per proteggere meglio il sistema quando si utilizza il Fulltext Service, l'istanza Solr può essere eseguita con un certificato SSL (Secure Sockets Layer). Fare riferimento alla seguente guida su come implementare questa soluzione;
1. Innanzitutto, abilitare l'Autenticazione di base per Fulltext. Consultare KBA-37185 per sapere come fare.
2. Aprire un'interfaccia a riga di comando e navigare in keytool.exe (Keytool si trova nella directory bin del pacchetto JDK; il percorso dovrebbe essere simile a C:\Program Files\DocuWare\Full-Text Server (x64)\OpenJDK\jdk-xxxxx\bin).
3. Creare un keystore eseguendo il seguente comando nel CMD aperto:
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass <your_password> -storepass <your_password> -validity 9999 -keystore solr-ssl.keystore.p12 -storetype PKCS12 -ext SAN=DNS:MACHINENAME -dname "CN=MACHINENAME, OU=Organizational Unit, O=Organization, L=Location, ST=State, C=Country"
Modificare il keypass e lo storepass (entrambi devono essere lunghi almeno 6 caratteri) e modificare il MACHINENAME della macchina nel comando precedente. Questo comando creerà un file chiamato solr-ssl.keystore.p12 nella stessa directory.
Ecco un esempio di utilizzo di un indirizzo localhost:
keytool -genkeypair -alias solr-ssl -keyalg RSA -keysize 2048 -keypass secret -storepass secret -validity 9999 -keystore solr-ssl.keystore.p12 -storetype PKCS12 -ext SAN=DNS:localhost -dname "CN=localhost, OU=Organizational Unit, O=Organization, L=Location, ST=State, C=Country".
4. Copiare il filesolr-ssl.keystore.p12 in C:\Program Files\DocuWare\Full-Text Server (x64)\solr\server\etc
5. Aprire la Gestione certificati di Windows e importare il certificato appena creato (solr-ssl.keystore.p12) tra le Autorità di certificazione radice attendibili.
6. Individuare il file solr.in.cmd che si trova nella directory bin di Solr 8 (C:\Program Files\DocuWare\Full-Text Server (x64)\solr\bin).
7. Aprire il file con il Blocco note e modificare le impostazioni sottostanti rimuovendo i "REM" iniziali. Assicurarsi che ci sia un valore "set" all'inizio di ogni riga. Assicurarsi che le password della chiave e del deposito siano uguali a quelle del certificato.
set SOLR_SSL_ENABLED=true
set SOLR_SSL_KEY_STORE=etc/solr-ssl.keystore.p12
set SOLR_SSL_KEY_STORE_PASSWORD=<tua_password>
set SOLR_SSL_TRUST_STORE=etc/solr-ssl.keystore.p12
set SOLR_SSL_TRUST_STORE_PASSWORD=<vostro_password>
set SOLR_SSL_NEED_CLIENT_AUTH=false
set SOLR_SSL_CHECK_PEER_NAME=true
Nota sulle impostazioni di autenticazione del client: Attivare SOLR_SSL_NEED_CLIENT_AUTH o SOLR_SSL_WANT_CLIENT_AUTH, ma non entrambi contemporaneamente. Le due opzioni si escludono a vicenda e Jetty ne selezionerà una, che potrebbe non essere quella prevista.
Esempio:
8. Salvare le modifiche del file solr.in.cmd .
9. Riavviare Solr utilizzando DocuWare Control o Windows Services.
10. Accedere a https://MACHINENAME:9012/solrt che potrebbe visualizzare il messaggio;
È stato aggiunto con successo l'SSL a Fulltext Server!
11. Assicurarsi che lo strumento DocuWare Administration utilizzi l'URL corretto per le connessioni Fulltext.
KBA è applicabile SOLO alle organizzazioni in sede.
Si prega di notare: Questo articolo è una traduzione dall’inglese. Le informazioni contenute in questo articolo si basano sulla/e versione/i originale/i del prodotto in inglese. Potrebbero esserci piccoli errori, come nella grammatica usata nella versione tradotta dei nostri articoli. Sebbene non possiamo garantire la completa esattezza della traduzione, nella maggior parte dei casi troverà che è sufficientemente informativa. In caso di dubbi, torni alla versione inglese di questo articolo.