[KB7437] ESET Endpoint Encryption Server Apache Web Server Konfiguration

Ausgabe

• Aktivieren Sie SSL/HTTPS-Einstellungen in der Systemsteuerung
• SSL-Details
• Zertifikat-Optionen: Zertifikat hochladen
• Zertifikats-Optionen: Neues Zertifikat erstellen
• Umleitungsoptionen: Zertifikat hochladen
• Manuelle Konfuguration

Einzelheiten

Lösung

SSL-Details

Um SSL zu aktivieren, befolgen Sie die nachstehenden Anweisungen:

1. Melden Sie sich bei ESET Endpoint Encryption Server an.

2. Greifen Sie auf die Systemsteuerung von ESET Endpoint Encryption Server zu.

3. Wählen Sie Globale Einstellungen.

4. Klicken Sie auf Apache Server SSL-Konfiguration.

5. Aktivieren Sie das Kontrollkästchen SSL-Server-Unterstützung aktivieren.

6. Geben Sie den von Ihnen gewählten Port ein (der Standard-HTTPS-Port ist 443)

Zertifikat-Optionen: Zertifikat hochladen

1. Wählen Sie die Registerkarte Zertifikatsoptionen und klicken Sie auf Zertifikat hochladen.

2. Klicken Sie auf Durchsuchen und laden Sie server.key in das Feld Privater Schlüssel und server.crt in das Feld Zertifikat hoch.

Zertifikat-Optionen: Neues Zertifikat erstellen

Wenn Sie noch keine Zertifikatsdatei haben, können Sie zu Testzwecken ein selbst generiertes Zertifikat erstellen:

1. Wählen Sie die Registerkarte Zertifikatsoptionen und klicken Sie auf Neues Zertifikat erstellen.

2. Geben Sie die entsprechenden Details in das Formular ein.

Umleitungsoptionen

Wenn Sie die Verwendung von HTTPS erzwingen möchten:

1. Klicken Sie auf die Registerkarte Umleitungsoptionen.

2. Aktivieren Sie das Kontrollkästchen HTTPS-Nutzung erzwingen.

Manuelle Konfiguration

Wenn Sie das EEE Server Standalone-Paket installiert und Apache manuell konfiguriert haben, folgen Sie den nachstehenden Anweisungen:

Zertifikate

Wenn Sie Ihr SSL-Zertifikat bereits erworben haben, kopieren Sie einfach die mitgelieferten Dateien server.key und server.crt in den Ordner Program Files\DESlock+ HTTP\conf\

Selbst signierte Zertifikate

Wenn Sie noch keine Zertifikatsdatei haben, können Sie zu Testzwecken ein selbst erstelltes Zertifikat mit dem Tool openssl wie folgt generieren:

1. Öffnen Sie eine erweiterte Eingabeaufforderung.

2. Navigieren Sie zu Program Files\DESlock+ HTTP\bin(ProgramFiles (x86) auf 64bit-Plattformen).

3. Geben Sie den Befehl openssl req -config ..\conf\openssl.cnf -new -out server.csr ein oder kopieren/fügen Sie ihn ein.

4. Sie werden aufgefordert, eine Passphrase einzugeben und zu überprüfen. Alle anderen Abfragen können Sie durch Drücken der Eingabetaste auf Ihrer Tastatur als Standard belassen, mit Ausnahme des Common Name, der mit dem Namen der Webserver-Adresse übereinstimmen muss, die das Zertifikat hostet.

5. Geben Sie den Befehl openssl rsa -in privkey.pem -out server.key ein.

6. Geben Sie die Passphrase ein, die Sie zuvor angegeben haben. Wenn der Befehl erfolgreich war, sollte er den textbasierten RSA-Schlüssel zurückgeben.

7. Geben Sie den Befehl del .rnd ein.

8. Geben Sie den Befehl openssl x509 -in server.csr -out server.crt -req -signkey server.key -days 365 ein. Hinweis: Dadurch wird das Zertifikat auf eine Gültigkeit von 365 Tagen festgelegt.

9. Geben Sie den Befehl move server.key ..\conf\ ein.

10. Geben Sie den Befehl move server.crt ..\conf\ ein.

Anwenden des Zertifikats

Führen Sie die folgenden Schritte entweder mit einem gekauften oder einem Testzertifikat durch:

1. Ändern Sie als Sicherheitsmaßnahme die Dateiberechtigungen für die Zertifikatsdateien so, dass sie schreibgeschützt sind und nur Administratorbenutzer darauf zugreifen können.

2. Öffnen Sie die Datei Program Files\DESlock+ HTTP\conf\httpd.conf(ProgramFiles (x86) auf 64bit-Plattformen).

3. Suchen Sie die Zeile #LoadModule ssl_module modules/mod_ssl.so, entfernen Sie das Symbol # aus der Zeile.

4. Suchen Sie die Zeile #Include conf/extra/httpd-ssl.conf und entfernen Sie das Symbol # aus der Zeile.

5. Fügen Sie am Ende der Datei httpd.conf diese Zeilen hinzu (dadurch werden Zugriffsversuche über http auf die https-Adresse umgeleitet):

LoadModule rewrite_module modules/mod_rewrite.so

RewriteEngine Ein

RewriteCond %{HTTPS} aus

RewriteRule ^/dlpes(|/.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=302,L]

6. Speichern Sie die aktualisierte Datei httpd.conf.

Auf 64-Bit-Betriebssystemen ist die folgende Änderung erforderlich:

1. Sie müssen die ssl-Konfiguration mit dem kurzen Pfad zum Logs-Ordner aktualisieren. Sie können die Kurzpfad-Dateinamen mit dem Befehl DIR /X ermitteln. Das folgende Beispiel bezieht sich auf ein Standard-Windows 7 x64-System mit der ES-Vorinstallation.

2. Öffnen Sie \Programme (x86)\DESlock+ HTTP\conf\extra\httpd-ssl.conf in Notepad.

3. Suchen Sie den Wert SSLSessionCache und ändern Sie ihn wie folgt, indem Sie den vorhandenen SSLSessionCache auskommentieren und den neuen Pfad( untenhervorgehoben ) übernehmen und die Änderung speichern:

# Inter-Process Session Cache:

# Konfigurieren Sie den SSL-Sitzungscache: Erstens den Mechanismus

# zu verwenden und zweitens die Ablaufzeit (in Sekunden).

#SSLSessionCache "dbm:C:/Program Files (x86)/DESlock+ HTTP/logs/ssl_scache"

#SSLSessionCache "shmcb:C:/Programme (x86)/DESlock+ HTTP/logs/ssl_scache(512000)"

SSLSessionCache "shmcb:C:/Progra\~2/DESloc\~1/logs/ssl_scache(512000)"

SSLSessionCacheTimeout 300

Auf allen Betriebssystemen:

• Starten Sie den DESlockHTTP-Dienst in der Systemsteuerung der Dienste neu.