Verwalten der CA Process Automation-Domäne › Konfigurieren der Inhalte der Domäne › Konfigurieren von CA EEM-Sicherheitseinstellungen für die Domäne › Ändern der Sicherheitseinstellung des CA EEM-FIPS-Modus

Ändern der Sicherheitseinstellung des CA EEM-FIPS-Modus

Während der Installation wird die Eigenschaft für den CA EEM-FIPS-Modus aktiviert oder deaktiviert. Diese Einstellung bestimmt die Algorithmen, die verwendet werden, um übertragene Daten zwischen CA EEM und CA Process Automation zu verschlüsseln. Wenn FIPS-Modus aktiviert ist, sind die Algorithmen kompatibel mit FIPS 140-2. Wenn CA Process Automation mit CA EEM und einem aktivierten FIPS-Modus installiert ist, wird die Einstellung "FIPS-konformes Zertifikat" markiert angezeigt.

Sie können die Einstellung "FIPS-konformes Zertifikat" auf folgenden Ebenen ändern:

• Domäne
• Umgebungen
• Koordinationsrechner

Unabhängig von der Ebene, in der die Einstellung "FIPS-konformes Zertifikat" geändert wird, wirkt sich die Einstellung auf die gesamte Domäne aus. Die Domäne hat ein CA EEM. Die Einstellung "FIPS-konformes Zertifikat" wirkt sich auch auf die FIPS-Modus-Einstellung von CA EEM und eine iGateway-Dateieinstellung aus.

Wichtig! Wenn Sie eine CA EEM-Sicherheitseinstellung ändern, besprechen Sie dies vorher mit Ihrem Domänenadministrator. Sicherheitseinstellungen haben weitreichende Auswirkungen.

Gehen Sie folgendermaßen vor:

1. Holen Sie das EEM-Zertifikatskennwort vom Installationsprogramm ein.
2. Fahren Sie CA Process Automation auf allen Koordinationsrechnern, außer auf dem Domänen-Koordinationsrechner (sofern zutreffend), herunter.
3. Melden Sie sich bei dem Server an, auf dem der CA Process Automation-Domänen-Koordinationsrechner installiert ist, und gehen Sie folgendermaßen vor:
   1. Fahren Sie CA Process Automation herunter.
   2. Halten Sie den Koordinationsrechner-Service an. Wählen Sie beispielsweise im Windows-Startmenü "CA", "CA Process Automation 4.0" und "Koordinationsrechner-Service anhalten" aus.
4. Melden Sie sich am Server an, auf dem CA EEM installiert ist, und gehen Sie folgendermaßen vor:
   1. Fahren Sie CA EEM herunter.
   2. Halten Sie den Service "CA iTechnology iGateway" an.
5. Navigieren Sie zum Ordner "...\CA\SharedComponents\iTechnology".
6. Ändern Sie die FIPS-Modus-Einstellung in der Datei "igateway.conf".
   1. Öffnen Sie die Datei "igateway.conf", um diese zu bearbeiten. Klicken Sie zum Beispiel mit der rechten Maustaste auf "igateway.conf" und wählen Sie "Edit with Notepad++" (Mit Editor bearbeiten) aus.
   2. Suchen Sie die Zeile mit der FIPS-Modus-Einstellung. Zum Beispiel:

      Zeile 4: <FIPSMode>Deaktiviert</FIPSMode>
      

   3. Ändern Sie den Wert von "Deaktiviert" auf "Aktiviert" oder umgekehrt.
   4. Speichern und schließen Sie die Datei.
7. Führen Sie Hilfsprogramm "iGateway Certificate" (igwCertUtil) aus, um die CA EEM-Zertifikatstypen folgendermaßen zu konvertieren:
   • Wenn Sie den CA EEM-FIPS-Modus aktivieren (ein deaktiviertes Kontrollkästchen in ein aktiviertes Kontrollkästchen ändern), führen Sie Folgendes aus:
     • Erstellen Sie einen "pem"-Zertifikatstyp, "PAM.cer" und "PAM.key".
     • Ersetzen Sie das Zertifikat "PAM.p12" mit dem "pem"-Zertifikatstyp.
   • Wenn Sie den CA EEM-FIPS-Modus deaktivieren (ein aktiviertes Kontrollkästchen in ein deaktiviertes Kontrollkästchen ändern), ersetzen Sie "PAM.cer" und "PAM.key" durch "PAM.p12" und ein Kennwort.

     Hinweis: Details finden Sie in Beispiele für die Verwendung des iGateway Certificate-Hilfsprogramms.

8. Starten Sie den iGateway-Service neu.
9. Starten Sie CA EEM mit der entsprechenden FIPS-Modus-Einstellung neu.
10. Starten Sie den Koordinationsrechner-Service auf dem Server mit dem Domänen-Koordinationsrechner neu.
    • Stoppen Sie den Koordinationsrechner.
    • Starten Sie den Koordinationsrechner.
11. Melden Sie sich bei CA Process Automation an, und zeigen Sie die Sicherheitseinstellung für das FIPS-konforme Zertifikat und zugehörige Einstellungen folgendermaßen an:
    1. Melden Sie sich bei CA Process Automation an, und klicken Sie auf die Registerkarte "Konfiguration".
    2. Navigieren Sie zu der Ebene, auf der Sie die Änderung implementieren und diese Ebene sperren möchten (Domäne, Umgebung oder Koordinationsrechner).
    3. Zeigen Sie das Kontrollkästchen "FIPS-konformes Zertifikat" an.
    4. Wenn es sich bei Ihrer Änderung um das Aktivieren des FIPS-Modus für CA EEM handelt, führen Sie Folgendes aus:
       • Stellen Sie sicher, dass ""FIPS-konformes Zertifikat"" ausgewählt ist. Wenn dies nicht der Fall ist, aktivieren Sie es.
       • Geben Sie den generierten Schlüssel in das Feld "CA EEM-Zertifikatsschlüssel" ein.
    5. Wenn es sich bei Ihrer Änderung um das Deaktivieren des FIPS-Modus für CA EEM handelt, führen Sie Folgendes aus:
       • Stellen Sie sicher, dass ""FIPS-konformes Zertifikat"" deaktiviert ist. Wenn dies nicht der Fall ist, deaktivieren Sie es.
       • Geben Sie das generierte Kennwort in das Feld "CA EEM-Zertifikatskennwort" ein.
    6. Klicken Sie auf "Speichern".
    7. Entsperren Sie die Ebene, das heißt "Domäne", "Umgebung" vom Auswahlmenü "Browser" oder "Koordinationsrechner" vom Auswahlmenü "Koordinationsrechner".
12. Starten Sie CA Process Automation auf Servern mit Koordinationsrechnern, die nicht der Domänen-Koordinationsrechner sind, neu.