[KB7856] Nastavení HTTPS/SSL připojení pro ESET PROTECT On-Prem

POZNÁMKA:

Tato stránka byla přeložena počítačem. Chcete-li zobrazit originální text, klikněte v části Jazyky na této stránce na Angličtina. Pokud vám něco není jasné, obraťte se na místní podporu.

Obsah

Řešení

HTTPS

Z bezpečnostních důvodů doporučujeme nastavit ESET PROTECT On-Prem tak, aby používal HTTPS.

Přeinstalace webové konzole ESET PROTECT pomocí instalačního programu All-in-one

Přeinstalujte webovou konzoli ESET PROTECT pomocí instalačního programu All-in-one, aby se automaticky vygeneroval certifikát zabezpečeného připojení (HTTPS).

  1. Ujistěte se, že Apache Tomcat není používán jinou aplikací než ESET PROTECT On-Prem.

  2. Odinstalujte Apache Tomcat. Tímto krokem také odinstalujete webovou konzoli ESET PROTECT.

  3. Stáhněte si instalační program ESET PROTECT On-Prem All-in-one. Použijte stejnou verzi, jakou má váš ESET PROTECT Server.

  4. Spusťte instalační program ESET PROTECT On-Prem All-in-one. Vyberte možnost Instalovat a přijměte smlouvu EULA. V části Vybrat komponenty k instalaci zaškrtněte políčko u položky ESET PROTECT Webconsole a klikněte na tlačítko Další. Certifikát zabezpečeného připojení je automaticky vygenerován během instalace.

    Obrázek 1-1
    Vygenerování vlastního HTTPS certifikátu pro webovou konzoli ESET PROTECT

    Pokud instalujete ESET PROTECT On-Prem pomocí instalačního programu All-in-one, můžete použít vlastní HTTPS certifikát pro Windows.

    1. Zaškrtněte políčko vedle položky Přidat vlastní certifikát HTTPS pro webovou konzolu a klikněte na tlačítko Další.

      Obrázek 1-2

    2. Klikněte na tlačítko Procházet a vyberte platný certifikát (.pfx nebo .p12 soubor) a zadejte jeho přístupovou frázi (nebo nechte pole Passphrase prázdné, pokud žádná přístupová fráze neexistuje). Certifikát bude nainstalován na server Tomcat pro přístup k webové konzole. Kliknutím na tlačítko Další pokračujte.

      Pro vlastní certifikát HTTPS musí být splněny následující požadavky:

      • Vybrán správný soubor (.pfx, .p12)
      • Zadání správné přístupové fráze
      • Certifikát má soukromý klíč
      • Certifikát je platný

      Obrázek 1-3
  5. Kompletní instalace ESET PROTECT On-Prem. Pokud jste nainstalovali ESET PROTECT On-Prem na jiný počítač než ESET PROTECT Server, nakonfigurujte připojení k ESET PROTECT Serveru.

Použití existujícího certifikátu

Certifikáty ESET PROTECT On-Prem

Níže uvedené kroky se týkají certifikátů pro Apache Tomcat, které se používají k zajištění bezpečných připojení HTTPS. Informace o certifikacích ESET PROTECT On-Prem naleznete v tématu Online nápověda.

Níže uvedené kroky se provádějí v 64bitovém operačním systému Microsoft Windows Server (s nainstalovanou 64bitovou Javou a 64bitovým Apache Tomcat). Některé cesty se mohou lišit v závislosti na používaném operačním systému.

  1. Přesuňte soubor certifikátu .pfx do instalačního adresáře Tomcat (název složky se může lišit –  a nahraďte jej skutečným názvem složky "Tomcat_folder").

    C:\Program Files\Apache Software Foundation\Tomcat_folder

  2. Otevřete conf v instalačním adresáři Tomcat a vyhledejte složku Server.xml soubor. Tento soubor upravte pomocí textového editoru (například Notepad ++).

    1. Pokud není <‎Connector po <‎/Engine> v souboru Server.xml (například při nové instalaci Apache Tomcat), zkopírujte do souboru Server.xml následující řetězec after <‎/Engine> (použijte své hodnoty pro keystoreFile, keystorePass, a keystoreType):

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?

    1. Pokud <‎Connector je přítomen po <‎/Engine> v souboru Server.xml (například při obnově souboru Server.xml po aktualizaci Apache Tomcat), nahraďte hodnoty níže uvedených parametrů svými hodnotami:

      - keystoreFile - Zadejte úplnou cestu k souboru certifikátu (.pfx, .keystore nebo jiný). Pokud používáte certifikát jiný než JKS (např .pfx soubor), odstraňte soubor keyAlias (ve výchozím nastavení se nachází v souboru Server.xml) a přidejte správný keystoreType.
      - keystorePass - Zadejte přístupovou frázi certifikátu.
      - keystoreType - Zadejte typ certifikátu
      Dokumentace k aplikaci Apache Tomcat

      Další informace o konektoru HTTP naleznete v dokumentaci ke službě Apache Tomcat.

  2. Restartujte službu Tomcat .

    Vždy používejte soubor .pfx s heslem

    Na stránkách .pfx certifikát musí mít heslo. 

Vytvoření nového certifikátu a jeho podepsání

Použijte zabezpečené HTTPS/SSL připojení pro ESET PROTECT On-Prem.

Apache Tomcat vyžaduje jazyk Java:
  • Ujistěte se, že Java, ESET PROTECT On-Prem a Apache Tomcat mají stejnou bitovou verzi (32bitovou nebo 64bitovou).
  • Pokud máte v systému nainstalováno více verzí Javy, doporučujeme odinstalovat starší verze Javy a ponechat si pouze nejnovější verzi Javy.
  • Od ledna 2019 budou veřejné aktualizace Oracle JAVA SE 8 pro obchodní, komerční nebo produkční použití vyžadovat komerční licenci. Pokud si předplatné JAVA SE nezakoupíte, použijte tuto příručku k přechodu na bezplatnou alternativu.

  1. Vytvoření úložiště klíčů s certifikátem SSL. Musíte mít nainstalovanou Javu.

    -parametry storepass a -keypass

    Hodnoty -storepass a -keypass musí být stejné.

Java obsahuje nástroj keytool (keytool.exe), který umožňuje vytvořit certifikát prostřednictvím příkazového řádku. Pro každou instanci Tomcatu (pokud máte více instancí Tomcatu) je třeba vygenerovat nový certifikát, abyste zajistili, že ostatní instance Tomcatu zůstanou zabezpečené, pokud dojde k narušení jednoho certifikátu.

Níže je uveden ukázkový příkaz pro vytvoření úložiště klíčů s certifikátem SSL.

Přejděte na přesné umístění souboru keytool.exe, např C:\Program Files\Java\jre1.8.0_201\bin (adresář závisí na operačním systému a verzi Javy) a poté spusťte příkaz:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -jméno "CN=Neznámý, OU=Neznámý, O=Neznámý, L=Neznámý, ST=Neznámý, C=Neznámý"

  1. Export certifikátu z úložiště klíčů. Níže je uveden ukázkový příkaz pro export žádosti o podepsání certifikátu z úložiště klíčů:

    Vhodně nahraďte hodnoty

    Nahraďte hodnotu "C:\Install\Tomcat\tomcat.csr" pro parametr -file skutečnou cestou a názvem souboru, kam bude certifikát exportován.
    Nahraďte hodnotu ESETPROTECT pro parametr -ext skutečným názvem hostitele serveru, na kterém běží váš Apache Tomcat s ESET PROTECT On-Prem.

keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT

  1. Získejte certifikát SSL podepsaný kořenovou certifikační autoritou (CA) podle svého výběru.

Pokud plánujete importovat kořenovou certifikační autoritu později, můžete přejít ke kroku 6. Pokud se rozhodnete postupovat tímto způsobem, může váš webový prohlížeč zobrazit varování o certifikátu podepsaném samotným uživatelem a bude nutné přidat výjimku pro připojení k ESET PROTECT On-Prem přes HTTPS.

  1. Importujte kořenový certifikát a zprostředkující certifikát certifikační autority do úložiště klíčů. Tyto certifikáty obvykle zpřístupňuje subjekt, který váš certifikát podepsal. Je to nutné, protože odpověď na certifikát je ověřována pomocí důvěryhodných certifikátů z úložiště klíčů.

keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"

keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"

  1. Po obdržení certifikátu podepsaného kořenovou certifikační autoritou importujte veřejný klíč certifikační autority a poté certifikát (tomcat.cer) do svého úložiště klíčů. Níže je uveden ukázkový příkaz , který importuje podepsaný certifikát do úložiště klíčů:

    Vhodně nahraďte hodnoty

    Nahradit hodnotu " C:\Install\Tomcat\tomcat.cer " pro -file skutečnou cestu a název souboru, ve kterém je podepsaný certifikát umístěn.

keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"

Pokud chcete použít již existující certifikát (například firemní certifikát), postupujte podle následujících pokynů.

  1. Upravit server.xml konfigurační soubor tak, aby značka <‎Connector byl zapsán podobně jako v příkladu níže:

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>

Tato úprava také zakáže nezabezpečené funkce Tomcatu a ponechá povolený pouze protokol HTTPS (scheme= parametr). Z bezpečnostních důvodů může být také nutné upravit tomcat-users.xml odstranit všechny uživatele Tomcatu a změnit soubor ServerInfo.properties, aby se skryla identita Tomcatu.

  1. Restartujte službu Apache Tomcat.

Poslední aktualizace: Mar 2, 2026

Další pomoc

Uživatelské příručky

ESET Fórum

Videa na YouTube
ESET Status Portal ESET Technical Support

Stávající zákazník?