[KB7856] Настройка на HTTPS/SSL връзка за ESET PROTECT On-Prem (Windows)

ЗАБЕЛЕЖКА:

Тази страница е преведена от компютър. Щракнете върху Английски под Езици на тази страница, за да се покаже оригиналният текст. Ако установите, че нещо не е ясно, моля, свържете се с местната поддръжка.

Издание

Подробности


Натиснете, за да разширите

Ръчно инсталираната ESET PROTECT On-Prem Web Console използва HTTP по подразбиране. От съображения за сигурност препоръчваме да настроите ESET PROTECT On-Prem да използва HTTPS.

За да използвате HTTPS, можете да преинсталирате ESET PROTECT On-Prem Web Console с помощта на инсталатора "Всичко в едно" или да конфигурирате Apache Tomcat да използва HTTPS връзка.


Решение

Свързано решение: Linux users

Преинсталирайте ESET PROTECT On-Prem Web Console с помощта на инсталатора All-in-one и използвайте автоматично генериран сертификат

Преинсталирайте ESET PROTECT On-Prem Web Console, като използвате инсталатора All-in-one, за да генерирате автоматично сертификата за защитена връзка (HTTPS).

  1. Уверете се, че Apache Tomcat се използва само от ESET PROTECT On-Prem Web Console.

  2. Деинсталирайте Apache Tomcat. Това ще деинсталира и ESET PROTECT On-Prem Web Console.

  3. Изтеглете инсталатора на ESET PROTECT On-Prem All-in-one. Използвайте същата версия като тази на вашия ESET PROTECT On-Prem Server. Проверете.

  4. Стартирайте инсталатора на ESET PROTECT On-Prem All-in-one. Изберете езика си и щракнете върху Напред.

  5. Изберете Install (Инсталиране) и щракнете върху Next (Напред).

  6. Прегледайте Условията за ползване, изберете квадратчето за отметка до Приемам условията за ползване и щракнете върху Напред.

  7. Изберете квадратчето за отметка до ESET PROTECT Webconsole и щракнете върху Next (Напред).

  8. Изберете Вашата Java инсталация и щракнете върху Инсталиране.

  9. HTTPS сертификатът се генерира автоматично по време на инсталацията. След успешна инсталация можете да получите достъп до уеб конзолата ESET PROTECT On-Prem, като използвате защитената връзка. Щракнете върху Завършване.


Преинсталиране на ESET PROTECT On-Prem Web Console с помощта на инсталатора "Всичко в едно" и използване на потребителски сертификат

Преинсталирайте ESET PROTECT On-Prem Web Console с помощта на инсталатора All-in-one и добавете потребителски HTTPS сертификат.

  1. Уверете се, че Apache Tomcat се използва само от ESET PROTECT On-Prem Web Console.

  2. Деинсталирайте Apache Tomcat. Това ще деинсталира и ESET PROTECT On-Prem Web Console.

  3. Изтеглете инсталатора на ESET PROTECT On-Prem All-in-one. Използвайте същата версия като тази на вашия ESET PROTECT On-Prem Server. Проверете.

  4. Стартирайте инсталатора на ESET PROTECT On-Prem All-in-one. Изберете езика си и щракнете върху Напред.

  5. Изберете Install (Инсталиране) и щракнете върху Next (Напред).

  6. Прегледайте Условията за ползване, изберете квадратчето за отметка до Приемам условията за ползване и щракнете върху Напред.

  7. Изберете квадратчето за отметка до ESET PROTECT Webconsole и Add custom HTTPS certificate for Webconsole и щракнете върху Next.

  8. Щракнете върху Browse (Преглед), отидете до и изберете вашия персонализиран сертификат, въведете Passphrase (Фраза) и щракнете върху Next (Напред).

    Изисквания към сертификата

    Следните изисквания за персонализиран HTTPS сертификат трябва да бъдат изпълнени:

    • Избран е правилен файл (.pfx, .p12)
    • Въведена е правилна парола
    • Сертификатът има частен ключ
    • Сертификатът е валиден

  9. Изберете вашата инсталация на Java и щракнете върху Инсталиране.

  10. Потребителският сертификат ще бъде използван по време на инсталацията. След успешната инсталация можете да получите достъп до уеб конзолата на ESET PROTECT On-Prem, като използвате защитената връзка. Щракнете върху Завършване.


Генериране на нов сертификат и конфигуриране на HTTPS връзка за ESET PROTECT On-Prem Web Console

Генерирайте нов сертификат чрез Java keystore и конфигурирайте HTTPS връзка в Apache Tomcat за ESET PROTECT On-Prem Web Console.

ESET PROTECT On-Prem Web Console

Следвайте инструкциите по-долу, ако вече имате инсталирана ESET PROTECT On-Prem Web Console.

  1. Създайте хранилище на ключове с SSL сертификат.

    Java включва keytool.exe, който ви позволява да създадете сертификат чрез командния ред. Трябва да генерирате нов сертификат за всяка инстанция на Tomcat (ако имате няколко инстанции на Tomcat), за да сте сигурни, че другите инстанции на Tomcat ще останат защитени, ако един сертификат бъде компрометиран.

    Отидете до точното местоположение на файла keytool.exe. Пътят зависи от операционната система и версията на Java, вижте примера по-долу:

    C:\Program Files\Java\jre1.8.0_201\bin
  2. Отворете команден ред/терминал в местоположението на keytool.exe.

  3. Редактирайте и изпълнете следната команда. Редактирайте параметрите -keystore, -storepass и -keypass в зависимост от вашата среда.

    keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
    -параметри storepass и -keypass

    Стойностите за -storepass и -keypass трябва да са еднакви.

  4. Редактирайте и изпълнете следната команда. Редактирайте параметрите -file и -ext, за да експортирате заявката за подписване на сертификат от хранилището на ключове.

    keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT
    -параметри на файла и -ext

    Заменете стойността "C:\Install\Tomcat\tomcat.csr" за параметъра -file с действителния път и име на файла, в който ще бъде експортиран сертификатът.

    Заменете стойността ESETPROTECT за параметъра -ext с действителното име на хоста на сървъра, на който работи вашият Apache Tomcat с ESET PROTECT On-Prem.

  5. Получете SSL сертификата, подписан от избрания от вас коренен удостоверяващ орган (CA).

    Можете да преминете към стъпка 8, ако планирате да импортирате Root Certificate Authority по-късно. Ако изберете да продължите по този начин, Вашият уеб браузър може да покаже предупреждения за самоподписан сертификат и ще трябва да добавите изключение, за да се свържете с уеб конзолата на ESET PROTECT On-Prem чрез HTTPS.

  6. Импортирайте кореновия сертификат и междинния сертификат на вашия CA в хранилището за ключове. Структурата, която е подписала Вашия сертификат, обикновено предоставя тези сертификати. Това е необходимо, тъй като отговорът на сертификата се валидира, като се използват доверени сертификати от хранилището на ключове.

    Редактирайте и изпълнете следните команди. Редактирайте параметрите -keystore и -file в зависимост от вашата среда.

    keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"
    keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"
  7. Когато получите подписания сертификат от Root CA, импортирайте публичния ключ на CA и след това сертификата tomcat.cer в хранилището си за ключове.

    Редактирайте и изпълнете следната команда. Редактирайте параметрите -file и -keystore.

    keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"
  8. Отидете в папката с конфигурацията на Apache Tomcat. Пътят зависи от операционната система и версията на Apache Tomcat, вижте примера по-долу:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf
  9. Отворете файла server.xml с помощта на текстов редактор (например Notepad) и добавете следния код след тага </Engine> (ако вече има таг <Connector, редактирайте кода според примера по-долу).

    Редактирайте параметрите keystoreFile и keystorePass в зависимост от вашата среда.

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>
    Конфигурация на Apache Tomcat

    Тази модификация също така деактивира несигурните функции на Tomcat, като оставя активиран само HTTPS (параметърсхема). От съображения за сигурност може да се наложи също така да редактирате tomcat-users.xml, за да изтриете всички потребители на Apache Tomcat и да промените ServerInfo.properties, за да скриете самоличността на Apache Tomcat. За повече информация вижте документацията на Apache Tomcat.

  10. Натиснете клавишите Windows + R, въведете services.msc и щракнете върху OK.

  11. Щракнете с десния бутон на мишката върху услугата Apache Tomcat 9.0 и изберете Restart (Рестартиране) от контекстното меню.


Конфигуриране на HTTPS връзка за ESET PROTECT On-Prem Web Console с помощта на потребителски сертификат

Сертификати за ESET PROTECT On-Prem

Стъпките по-долу се отнасят до сертификатите за Apache Tomcat, които се използват за осигуряване на сигурни HTTPS връзки. За информация относно сертификатите на ESET PROTECT On-Prem, вижте Онлайн помощ за ESET PROTECT On-Prem.

Конфигуриране на HTTPS връзка в Apache Tomcat за ESET PROTECT On-Prem Web Console с помощта на потребителски сертификат.

  1. Преместете файла certificate.pfx в инсталационната папка на Apache Tomcat. Пътят зависи от операционната система и версията на Apache Tomcat, вижте примера по-долу:
    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\
    Винаги използвайте .pfx с парола

    Сертификатът .pfx трябва да има парола.

  2. Отидете в папката с конфигурацията на Apache Tomcat. Пътят зависи от операционната система и версията на Apache Tomcat, вижте примера по-долу:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf\
  3. Отворете файла server.xml, като използвате текстов редактор (например Notepad).

    1. Ако няма таг <Connector след тага </Engine> (например при нова инсталация на Apache Tomcat), копирайте следния низ в Server.xml след тага </Engine>.

      Редактирайте параметрите keystoreFile, keystorePass и keystoreTag в зависимост от средата си.

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?
    2. Ако тагът <Connector присъства след тага</Engine> (например, когато възстановявате файла server.xml след обновяване на Apache Tomcat), заменете стойностите на параметрите, изброени по-долу, с вашите стойности.

      • keystoreFile - посочете пълния път до файла със сертификата (.pfx, .keystore или друг). Ако използвате сертификат, който не е JKS (например .pfx файл), изтрийте keyAlias (той присъства в Server.xml по подразбиране) и добавете правилния keystoreType.
      • keystorePass-Предоставете парола на сертификата.
      • keystoreType - посочете типа на сертификата.
      Документация на Apache Tomcat

      За повече информация относно HTTP конектора вижте документацията на Apache Tomcat.

  4. Натиснете клавиша Windows + R, въведете services.msc и щракнете върху OK.

  5. Щракнете с десния бутон на мишката върху услугата Apache Tomcat 9.0 и изберете Restart (Рестартиране) от контекстното меню.