[KB7856] Opsæt en HTTPS/SSL-forbindelse til ESET PROTECT On-Prem (Windows)

BEMÆRK:

Denne side er blevet oversat af en computer. Klik på engelsk under Sprog på denne side for at få vist den originale tekst. Hvis du finder noget uklart, bedes du kontakte din lokale support.

Problem

Detaljer om ESET PROTECT


Klik for at udvide

ESET PROTECT On-Prem Web Console installeret manuelt bruger HTTP som standard. Af sikkerhedsmæssige årsager anbefaler vi, at du konfigurerer ESET PROTECT On-Prem til at bruge HTTPS.

For at bruge HTTPS kan du geninstallere ESET PROTECT On-Prem Web Console ved hjælp af All-in-one-installationsprogrammet eller konfigurere Apache Tomcat til at bruge en HTTPS-forbindelse.


Løsning

Relateret løsning: Linux-brugere

Geninstaller ESET PROTECT On-Prem Web Console ved hjælp af All-in-one-installationsprogrammet, og brug et automatisk genereret certifikat

Geninstaller ESET PROTECT On-Prem Web Console ved hjælp af All-in-one-installationsprogrammet for automatisk at generere certifikatet til den sikre forbindelse (HTTPS).

  1. Sørg for, at Apache Tomcat kun bruges af ESET PROTECT On-Prem Web Console.

  2. Afinstaller Apache Tomcat. Dette vil også afinstallere ESET PROTECT On-Prem Web Console.

  3. Download ESET PROTECT On-Prem All-in-one-installationsprogrammet. Brug den samme version som din ESET PROTECT On-Prem-server. Tjek versionen af ESET PROTECT On-Prem og relaterede komponenter.

  4. Kør installationsprogrammet til ESET PROTECT On-Prem All-in-one. Vælg dit sprog, og klik på Næste.

  5. Vælg Installer, og klik på Næste.

  6. Læs brugsbetingelserne, marker afkrydsningsfeltet ud for Jeg accepterer brugsbetingelserne, og klik på Næste.

  7. Markér afkrydsningsfeltet ud for ESET PROTECT Webconsole, og klik på Næste.

  8. Vælg din Java-installation, og klik på Installer.

  9. HTTPS-certifikatet genereres automatisk under installationen. Efter en vellykket installation kan du få adgang til ESET PROTECT On-Prem Web Console ved hjælp af den sikre forbindelse. Klik på Udfør.


Geninstaller ESET PROTECT On-Prem Web Console ved hjælp af All-in-one-installationsprogrammet og brug et brugerdefineret certifikat

Geninstaller ESET PROTECT On-Prem Web Console ved hjælp af All-in-one-installationsprogrammet, og tilføj et brugerdefineret HTTPS-certifikat.

  1. Sørg for, at Apache Tomcat kun bruges af ESET PROTECT On-Prem Web Console.

  2. Afinstaller Apache Tomcat. Dette vil også afinstallere ESET PROTECT On-Prem Web Console.

  3. Download ESET PROTECT On-Prem All-in-one-installationsprogrammet. Brug den samme version som din ESET PROTECT On-Prem-server. Tjek versionen af ESET PROTECT On-Prem og relaterede komponenter.

  4. Kør installationsprogrammet til ESET PROTECT On-Prem All-in-one. Vælg dit sprog, og klik på Næste.

  5. Vælg Installer, og klik på Næste.

  6. Læs brugsbetingelserne, marker afkrydsningsfeltet ud for Jeg accepterer brugsbetingelserne, og klik på Næste.

  7. Markér afkrydsningsfeltet ud for ESET PROTECT Webconsole og Add custom HTTPS certificate for Webconsole, og klik på Next.

  8. Klik på Gennemse, naviger til og vælg dit brugerdefinerede certifikat, indtast adgangssætningen, og klik på Næste.

    Krav til certifikatet

    Følgende krav til et brugerdefineret HTTPS-certifikat skal være opfyldt:

    • Korrekt fil (.pfx, .p12) valgt
    • Korrekt passphrase indtastet
    • Certifikatet har en privat nøgle
    • Certifikatet er gyldigt

  9. Vælg din Java-installation, og klik på Installer.

  10. Det brugerdefinerede certifikat vil blive brugt under installationen. Efter en vellykket installation kan du få adgang til ESET PROTECT On-Prem Web Console ved hjælp af den sikre forbindelse. Klik på Udfør.


Generer et nyt certifikat, og konfigurer HTTPS-forbindelse til ESET PROTECT On-Prem Web Console

Generer et nyt certifikat via Java keystore, og konfigurer HTTPS-forbindelse i Apache Tomcat til ESET PROTECT On-Prem Web Console.

ESET PROTECT On-Prem webkonsol

Følg instruktionerne nedenfor, hvis du allerede har installeret ESET PROTECT On-Prem Web Console.

  1. Opret et keystore med et SSL-certifikat.

    Java indeholder keytool.exe, som gør det muligt at oprette et certifikat via kommandolinjen. Du skal generere et nyt certifikat for hver Tomcat-instans (hvis du har flere Tomcat-instanser) for at sikre, at andre Tomcat-instanser forbliver sikre, hvis et certifikat bliver kompromitteret.

    Naviger til den nøjagtige placering af filen keytool.exe. Stien afhænger af OS og Java-version, se eksemplet nedenfor:

    C:\Program Files\Java\jre1.8.0_201\bin
  2. Åbn kommandolinjen/terminalen på keytool.exe-placeringen.

  3. Rediger og kør følgende kommando. Rediger parametrene -keystore, -storepass og -keypass baseret på dit miljø.

    keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
    -storepass- og -keypass-parametre

    Værdierne for -storepass og -keypass skal være de samme.

  4. Rediger og kør følgende kommando. Rediger parametrene -file og -ext for at eksportere certifikatsignaturanmodningen fra keystore.

    keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT
    -fil- og -ext-parametre

    Erstat værdien "C:\Install\Tomcat\tomcat.csr" for -file-parameteren med den faktiske sti og det faktiske filnavn, hvor certifikatet skal eksporteres.

    Udskift værdien ESETPROTECT for -ext-parameteren med det faktiske værtsnavn på den server, hvor din Apache Tomcat med ESET PROTECT On-Prem kører.

  5. Få SSL-certifikatet underskrevet med en Root Certificate Authority (CA) efter eget valg.

    Du kan gå videre til trin 8, hvis du planlægger at importere en Root Certificate Authority senere. Hvis du vælger at fortsætte på denne måde, kan din webbrowser vise advarsler om et selvsigneret certifikat, og du bliver nødt til at tilføje en undtagelse for at kunne oprette forbindelse til ESET PROTECT On-Prem Web Console via HTTPS.

  6. Importer rodcertifikatet og det mellemliggende certifikat fra din CA til dit keystore. Den enhed, der har signeret dit certifikat, stiller normalt disse certifikater til rådighed. Det er nødvendigt, fordi certifikatsvaret valideres ved hjælp af pålidelige certifikater fra keystore.

    Rediger og kør følgende kommandoer. Rediger parametrene -keystore og -file baseret på dit miljø.

    keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"
    keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"
  7. Når du modtager det signerede certifikat med rod-CA'en, skal du importere CA'ens offentlige nøgle og derefter certifikatet tomcat.cer til dit keystore.

    Rediger og kør følgende kommando. Rediger parametrene -file og -keystore.

    keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"
  8. Naviger til Apache Tomcat-konfigurationsmappen. Stien afhænger af OS og Apache Tomcat-versionen, se eksemplet nedenfor:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf
  9. Åbn filen server.xml med en teksteditor (f.eks. Notepad), og tilføj følgende kode efter </Engine>-tagget (hvis der allerede er et <Connector-tag, skal du redigere koden som i eksemplet nedenfor).

    Rediger parametrene keystoreFile og keystorePass baseret på dit miljø.

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>.
    Konfiguration af Apache Tomcat

    Denne ændring deaktiverer også ikke-sikre Tomcat-funktioner, så kun HTTPS er aktiveret(scheme-parameter). Af sikkerhedsmæssige årsager kan det også være nødvendigt at redigere tomcat-users.xml for at slette alle Apache Tomcat-brugere og ændre ServerInfo.properties for at skjule Apache Tomcats identitet. Se dokumentationen til Apache Tomcat for at få flere oplysninger.

  10. Tryk på Windows-tasten + R, skriv services.msc, og klik på OK.

  11. Højreklik på Apache Tomcat 9.0-tjenesten, og vælg Genstart i kontekstmenuen.


Konfigurer HTTPS-forbindelse til ESET PROTECT On-Prem Web Console ved hjælp af et brugerdefineret certifikat

ESET PROTECT On-Prem-certifikater

Nedenstående trin henviser til certifikater til Apache Tomcat, som bruges til at sikre sikre HTTPS-forbindelser. For information om ESET PROTECT On-Prem-certifikater, se ESET PROTECT On-Prem onlinehjælp.

Konfigurer HTTPS-forbindelse i Apache Tomcat til ESET PROTECT On-Prem Web Console ved hjælp af et brugerdefineret certifikat.

  1. Flyt filen certificate.pfx til Apache Tomcats installationsmappe. Stien afhænger af operativsystemet og Apache Tomcat-versionen, se eksemplet nedenfor:
    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\
    Brug altid .pfx med en adgangskode

    .pf x-certifikatet skal have en adgangskode.

  2. Naviger til Apache Tomcats konfigurationsmappe. Stien afhænger af operativsystemet og Apache Tomcat-versionen, se eksemplet nedenfor:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf\
  3. Åbn filen server.xml med en teksteditor (f.eks. Notepad).

    1. Hvis der ikke er noget <Connector-tag efter </Engine>-tagget (f.eks. når du udfører en ny installation af Apache Tomcat), skal du kopiere følgende streng ind i Server.xml efter </Engine>-tagget.

      Rediger parametrene keystoreFile, keystorePass og keystoreTag baseret på dit miljø.

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?
    2. Hvis <Connector-tagget er til stede efter</Engine>-tagget (f.eks. når du gendanner server.xml-filen efter en Apache Tomcat-opgradering), skal du erstatte værdierne for nedenstående parametre med dine egne værdier.

      • keystoreFile- Angiv den fulde sti til certifikatfilen (.pfx, .keystore eller andet). Hvis du bruger et ikke-JKS-certifikat (f.eks. en .pfx-fil), skal du slette keyAlias (den er som standard til stede i Server.xml) og tilføje den korrekte keystoreType.
      • keystorePass-Angiv certifikatets adgangssætning.
      • keystoreType-Specificer certifikattypen.
      Dokumentation om Apache Tomcat

      For mere information om HTTP Connector, se Apache Tomcat-dokumentationen.

  4. Tryk på Windows-tasten + R, skriv services.msc, og klik på OK.

  5. Højreklik på Apache Tomcat 9.0-tjenesten, og vælg Genstart i kontekstmenuen.