[KB7856] Opsæt en HTTPS/SSL-forbindelse til ESET PROTECT On-Prem

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Problem

Løsning

HTTPS

Af sikkerhedsmæssige årsager anbefaler vi at opsætte ESET PROTECT On-Prem til at bruge HTTPS.

Geninstaller ESET PROTECT Web Console ved hjælp af All-in-one-installationsprogrammet

Geninstaller ESET PROTECT Web Console ved hjælp af All-in-one-installationsprogrammet for automatisk at generere certifikatet til den sikre forbindelse (HTTPS).

  1. Sørg for, at Apache Tomcat ikke bruges af nogen anden app end ESET PROTECT On-Prem.

  2. Afinstaller Apache Tomcat. Dette trin afinstallerer også ESET PROTECT Web Console.

  3. Download installationsprogrammet til ESET PROTECT On-Prem All-in-one. Brug den samme version som din ESET PROTECT Server.

  4. Kør ESET PROTECT On-Prem All-in-one-installationsprogrammet. Vælg Installer , og accepter EULA'en. Under Vælg komponenter, der skal installeres, skal du markere afkrydsningsfeltet ud for ESET PROTECT Webconsole og klikke på Næste. Certifikatet for den sikre forbindelse genereres automatisk under installationen.

    Figur 1-1
    Generering af et brugerdefineret HTTPS-certifikat til ESET PROTECT Web Console

    Hvis du installerer ESET PROTECT On-Prem med All-in-one-installationsprogrammet, kan du bruge et brugerdefineret HTTPS-certifikat til Windows.

    1. Marker afkrydsningsfeltet ud for Add Custom HTTPS certificate for Webconsole , og klik på Next.

      Figur 1-2
    2. Klik på Gennemse , og vælg et gyldigt certifikat (.pfx- eller .p12-fil ), og skriv dets adgangssætning (eller lad feltet Adgangssætning være tomt, hvis der ikke er nogen adgangssætning). Certifikatet vil blive installeret på din Tomcat-server for adgang til webkonsollen. Klik på Næste for at fortsætte.

      Følgende krav til et brugerdefineret HTTPS-certifikat skal være opfyldt:

      • Korrekt fil (.pfx, .p12) valgt
      • Korrekt passphrase indtastet
      • Certifikatet har en privat nøgle
      • Certifikatet er gyldigt

      Figur 1-3
  5. Fuldfør installationen af ESET PROTECT On-Prem. Hvis du har installeret ESET PROTECT On-Prem på en anden computer end ESET PROTECT Server, skal du konfigurere forbindelsen til ESET PROTECT Server.

Brug et eksisterende certifikat

ESET PROTECT On-Prem-certifikater

Nedenstående trin henviser til certifikater til Apache Tomcat, som bruges til at sikre sikre HTTPS-forbindelser. Du kan finde oplysninger om ESET PROTECT On-Prem-certificeringer i vores onlinehjælp.

Nedenstående trin udføres på et 64-bit Microsoft Windows Server-operativsystem (med 64-bit Java og 64-bit Apache Tomcat installeret). Nogle stier kan variere afhængigt af det operativsystem, du bruger.

  1. Flyt certifikatets .pfx-fil til din Tomcat-installationsmappe (mappenavnet kan variere - erstat "Tomcat_folder" med det faktiske mappenavn).

    C:\Program Files\Apache Software Foundation\Tomcat_folder

  2. Åbn conf-mappen i Tomcat-installationsmappen, og find filen Server.xml. Rediger denne fil ved hjælp af en teksteditor (f.eks. Notepad ++).

    1. Hvis der ikke er nogen <Connector efter </Engine> i Server.xml (f.eks. når du udfører en ny installation af Apache Tomcat), skal du kopiere følgende streng ind i Server.xml efter </Engine> (brug dine værdier for keystoreFile, keystorePass og keystoreType):

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?

    1. Hvis <Connector er til stede efter </Engine> i Server.xml (f.eks. når du gendanner Server.xml efter en opgradering af Apache Tomcat), skal du erstatte værdierne for nedenstående parametre med dine egne værdier:

      - keystoreFile - Angiv den fulde sti til certifikatfilen (.pfx, .keystore eller andet). Hvis du bruger et ikke-JKS-certifikat (f.eks. en .pfx-fil ), skal du slette keyAlias (den er som standard til stede i Server.xml) og tilføje den korrekte keystoreType.
      - keystorePass - Angiv certifikatets adgangssætning.
      - keystoreType - Angiv certifikattypen.
      Dokumentation om Apache Tomcat

      Læs Apache Tomcat-dokumentationen for at få flere oplysninger om HTTP Connector.

  1. Genstart Tomcat-tjenesten .

    Brug altid .pfx med en adgangskode

    .pf x-certifikatet skal have en adgangskode.


Opret et nyt certifikat, og få det signeret

Brug en sikker HTTPS/SSL-forbindelse til ESET PROTECT On-Prem.

Apache Tomcat kræver Java:
  • Sørg for, at Java, ESET PROTECT On-Prem og Apache Tomcat har samme bitness (32-bit eller 64-bit).
  • Hvis du har flere Java-versioner installeret på dit system, anbefaler vi, at du afinstallerer tidligere Java-versioner og kun beholder den nyeste Java.
  • Fra januar 2019 vil Oracle JAVA SE 8 offentlige opdateringer til forretnings-, kommerciel eller produktionsbrug kræve en kommerciel licens. Hvis du ikke køber et JAVA SE-abonnement, kan du bruge denne vejledning til at skifte til et omkostningsfrit alternativ.
  1. Opret et keystore med et SSL-certifikat. Du skal have Java installeret.

    -storepass- og -keypass-parametre

    Værdierne for -storepass og -keypass skal være de samme.

Java indeholder keytool (keytool .exe), som gør det muligt at oprette et certifikat via kommandolinjen. Du skal generere et nyt certifikat for hver Tomcat-instans (hvis du har flere Tomcat-instanser) for at sikre, at andre Tomcat-instanser forbliver sikre, hvis et certifikat bliver kompromitteret.

Nedenfor er et eksempel på en kommando til at oprette et keystore med et SSL-certifikat.

Naviger til den nøjagtige placering af keytool.exe-filen, for eksempel C:\Program Files\Java\jre1.8.0_201\bin (biblioteket afhænger af OS og Java-version), og kør derefter kommandoen:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

  1. Eksporter certifikatet fra keystore. Nedenfor er et eksempel på en kommando, der eksporterer certifikatsignaturanmodningen fra keystore:

    Udskift værdier på passende vis

    Erstat værdien "C:\Install\Tomcat\tomcat.csr" for -file-parameteren med den faktiske sti og det faktiske filnavn, hvor certifikatet skal eksporteres.
    Erstat værdien ESETPROTECT for -ext-parameteren med det faktiske værtsnavn på den server, hvor din Apache Tomcat med ESET PROTECT On-Prem kører.

keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT

  1. Få SSL-certifikatet underskrevet med en Root Certificate Authority (CA) efter eget valg.

Du kan fortsætte til trin 6, hvis du planlægger at importere en Root CA senere. Hvis du vælger at fortsætte på denne måde, kan din webbrowser vise advarsler om et selvsigneret certifikat, og du bliver nødt til at tilføje en undtagelse for at oprette forbindelse til ESET PROTECT On-Prem via HTTPS.

  1. Importer rodcertifikatet og det mellemliggende certifikat fra din CA til dit keystore. Den enhed, der har signeret dit certifikat, stiller normalt disse certifikater til rådighed. Det er nødvendigt, fordi certifikatsvaret valideres ved hjælp af pålidelige certifikater fra keystore.

keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"

keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"

  1. Når du har modtaget det signerede certifikat fra rod-CA'en, skal du importere CA'ens offentlige nøgle og dereftercertifikatet (tomcat.cer) til dit keystore. Nedenfor er et eksempel på en kommando, der importerer et signeret certifikat til keystore:

    Udskift værdier på passende vis

    Erstat værdien " C:\Install\Tomcat\tomcat.cer " for -file-parameteren med den faktiske sti og det faktiske filnavn, hvor det signerede certifikat er placeret.

keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"

Hvis du vil bruge et allerede eksisterende certifikat (f.eks. et virksomhedscertifikat), skal du følge disse instruktioner.

  1. Rediger konfigurationsfilen server.xml, så tagget <Connector skrives på samme måde som i eksemplet nedenfor:

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>.

Denne ændring deaktiverer også ikke-sikre Tomcat-funktioner, så kun HTTPS er aktiveret(scheme=-parameter). Af sikkerhedsmæssige årsager kan det også være nødvendigt at redigere tomcat-users.xml for at slette alle Tomcat-brugere og ændre ServerInfo.properties for at skjule Tomcats identitet.

  1. Genstart Apache Tom cat-tjenesten.

Chat med ESET AI Advisor for at få support