[KB3724] Wie richte ich eine HTTPS/SSL-Verbindung für die ESET Remote Administrator-Web-Konsole ein? (6.x)

Problem

  • Sie erhalten die Warnmeldung Unverschlüsselte Verbindung! Konfigurieren Sie den Webserver für die Verwendung von HTTPS beim Zugriff auf die ESET Remote Administrator-Web-Konsole (ERA Web-Konsole) über HTTP.

    Aus Sicherheitsgründen wird empfohlen, die ERA Web-Konsole für die Verwendung von HTTPS einzurichten.

Lösung

ERA-Zertifikate vs. Apache Tomcat-Zertifikate

Die folgenden Schritte beziehen sich auf Zertifikate für Apache Tomcat, mit denen sichere HTTPS-Verbindungen sichergestellt werden. Informationen zu ESET Remote Administrator-Zertifizierungen finden Sie in der Online-Hilfe.

Die Schritte können je nach Betriebssystem variieren

Die unten beschriebenen Schritte werden auf einem 64-Bit-Microsoft Windows Server-Betriebssystem ausgeführt. Einige Pfade können abhängig vom verwendeten Betriebssystem variieren.

So verwenden Sie ein vorhandenes Zertifikat

  1. Verschieben Sie die Zertifikat-PFX-Datei in Ihr Tomcat-Installationsverzeichnis.

    Standardmäßig ist dies C:program files(x86)Apache Software FoundationTomcat X.X auf 64-bit Windows Server Systemen oder C:program filesApache Software FoundationTomcat X.X auf 32-Bit Systemen.

  2. Öffnen Sie den Ordner Conf im Tomcat-Installationsverzeichnis und suchen Sie die Datei Server.xml. Bearbeiten Sie diese Datei mit einem Texteditor wie Notepad ++. Kopiere den folgenden String in die Server.xml:

  3. Starten Sie den Tomcat-Dienst neu.


Führen Sie die folgenden Schritte aus, um eine sichere HTTPS / SSL-Verbindung für die ERA-Webkonsole zu verwenden:

  1. Erstellen Sie einen Schlüsselspeicher mit einem SSL-Zertifikat. Sie müssen Java JRE installiert haben, wir empfehlen Ihnen, die neueste Version zu verwenden.

    Java JRE enthält das Java-Keytool (keytool.exe), mit dem Sie ein Zertifikat über die Befehlszeile erstellen können. Sie müssen ein neues Zertifikat für jede Tomcat-Instanz generieren (wenn Sie mehrere Tomcat-Instanzen haben), um sicherzustellen, dass bei einer Kompromittierung eines Zertifikats andere Tomcat-Instanzen sicher bleiben.

    Im Folgenden finden Sie einen Beispielbefehl zum Erstellen eines Schlüsselspeichers mit einem SSL-Zertifikat.

    Navigieren Sie zum genauen Speicherort der Datei keytool.exe, zum Beispiel: C:Program Files (x86)Javajre1.8.0_40in und führen den folgenden Befehl aus:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:Program Files (x86)Apache Software FoundationTomcat 7.0 omcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

Sind Sie Linux-Anwender?

keytool -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/home/user/tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

Der Dateipfad /home/user/tomcat.keystore ist nur ein Beispiel, wählen Sie Ihr eigenes sicheres und zugängliches Ziel.

Parameter -storepass und -keypass

Die Werte für -storepass und -keypass müssen identisch sein.

  1. Exportieren Sie das Zertifikat aus dem Schlüsselspeicher. Im Folgenden finden Sie einen Beispielbefehl zum Exportieren der Zertifikatsanforderungsanforderung aus dem Keystore:

keytool.exe -certreq -alias tomcat -file "C:Install omcat omcat.csr" -keystore "C:Program Files (x86)Apache Software FoundationTomcat 7.0 omcat.keystore" -ext san=dns:ERA6-2008R2

Sind Sie Linux-Anwender?

keytool -certreq -alias tomcat -file "/home/user/tomcat.csr" -keystore "/home/user/tomcat.keystore" -ext san=dns:ERA6-2008R2

Ersetzen Sie die Werte entsprechend

Ersetzen Sie den Wert "C:Install omcat omcat.csr" für den Parameter -file mit dem tatsächlichen Pfad und Dateinamen, an den das Zertifikat exportiert werden soll.

Ersetzen Sie den Wert ERA6-2008R2 für den Parameter -ext durch den tatsächlichen Hostnamen des Servers, auf dem der Apache Tomcat mit der ERA Web-Konsole ausgeführt wird.

  1. Holen Sie sich ein SSL-Zertifikat mit der Root Certificate Authority (CA) Ihrer Wahl.

    Sie können mit Schritt 5 fortfahren, wenn Sie später eine Stammzertifizierungsstelle importieren möchten. Wenn Sie auf diese Weise vorgehen, zeigt Ihr Webbrowser möglicherweise Warnungen zu einem selbstsignierten Zertifikat an und Sie müssen eine Ausnahme hinzufügen, um über HTTPS eine Verbindung zur ERA-Webkonsole herzustellen.

  2. Sobald Sie das signierte Zertifikat bei der Stammzertifizierungsstelle erhalten haben, importieren Sie den öffentlichen Schlüssel der CA und dann das Zertifikat (tomcat.cer) in Ihren Schlüsselspeicher. Im Folgenden finden Sie einen Beispielbefehl, der ein signiertes Zertifikat in den Schlüsselspeicher importiert:

keytool.exe -import -alias tomcat -file "C:Install omcat omcat.cer" -keystore "C:Program Files (x86)Apache Software FoundationTomcat 7.0 omcat.keystore"

Sind Sie Linux-Anwender?

keytool -importcert -alias tomcat -file "/home/user/tomcat.cer" -keystore "/home/user/tomcat.keystore"

Ersetzen Sie die Werte entsprechend

Ersetzen Sie den Wert " C:Install omcat omcat.cer " für den Parameter -file durch den tatsächlichen Pfad und Dateinamen, in dem sich das signierte Zertifikat befindet.

Wenn Sie ein bereits vorhandenes Zertifikat (z. B. Unternehmenszertifikat) verwenden möchten, befolgen Sie diese Anweisungen.

  1. Bearbeiten Sie die Konfigurationsdatei server.xml, sodass der Eintrag ähnlich wie im folgenden Beispiel geschrieben aussieht:



Diese Änderung deaktiviert auch nicht sichere Tomcat-Funktionen, sodass nur HTTPS aktiviert bleibt (Parameter scheme=). Aus Sicherheitsgründen müssen Sie möglicherweise auch dietomcat-users.xml bearbeiten, um alle Tomcat-Benutzer zu löschen und die ServerInfo.properties ändern, um die Identität des Tomcat zu verbergen.

  1. Starten Sie den Apache-Tomcat-Dienst neu.
Sind Sie Linux-Anwender?

sudo service tomcat restart
Beachten Sie, dass einige Distributionen den Dienstnamen tomcat7 verwenden.

Was ist, wenn eine sichere Verbindung unter Linux immer noch nicht funktioniert?

Fehlermeldung im Verzeichnis /var/....../tomcat:
failed to initialize end point associated with ProtocolHandler ["http-bio-443"]

Wenn das Problem weiterhin besteht, ändern Sie den port in der Datei server.xml auf einen Wert höher als 1024, da Ports unter 1024 möglicherweise nicht für Benutzer ohne Rootberechtigung verfügbar sind. Wenn Sie aus irgendeinem Grund Port 443 verwenden müssen, können Sie den Wert ändern und den Port weiterleiten.


 

Zusätzliche Hilfestellung