[KB3724] Configurar una conexión HTTPS/SSL para la Consola web de ESET Remote Administrator (6.x)

Problema

  • Aparece el mensaje de advertencia ¡Usando una conexión desencriptada! Por favor configure el servidor web para usar HTTPS cuando accede a la Consola web de ESET Remote Administrator (ERA Web Console) vía HTTP.

    Por razones de seguridad, recomendamos configurar la Consola web de ERA para usar HTTPS.

Solución

Certificados de ERA vs. Certificados de Apache Tomcat

Los siguientes pasos refieren a certificados para Apache Tomcat, los cuales se utilizan para garantizar conexiones HTTPS seguras. Para obtener información acerca de las certificaciones de ESET Remote Administrator lea nuestra Ayuda en línea.

Los pasos podrían variar dependiendo del sistema operativo

Los pasos descriptos a continuación se realizan en un sistema operativo Microsoft Windows Server de 64-bit. Algunas rutas podrían variar dependiendo del sistema operativo que se encuentra utilizando.

Para usar un certificado existente

  1. Mueva el archivo del certificado .pfx a su directorio de instalación de Tomcat.

    De manera predeterminada, es C:program files(x86)Apache Software FoundationTomcat X.X en sistemas  Windows Server de 64-bit o C:program filesApache Software FoundationTomcat X.X en sistemas de 32-bit.

  2. Abra la carpeta Conf en el directorio de instalación de Tomcat y localice el archivo Server.xml.Edite el archivo utilizando un editor de texto como Notepad ++. Copie las siguientes líneas dentro de Server.xml:

  3. Reinicie el servicio Tomcat. 


Para usar una conexión HTTPS/SSL segura para la Consola web de ERA, efectúe el siguiente procedimiento:

  1. Cree una keystore con un certificado SSL. Usted debe contar con Java JRE instalado, y es preferible que cuente con la última versión, debido a que incluye Java Keytool (keytool.exe), lo cual le permite crear el certificado mediante línea de comandos. Necesita generar un nuevo certificado para cada instancia de tomcat (en caso de que posea múltiples instancias de tomcat) para asegurarse de que, si un certificado se encuentra comprometido, otra instancia permanecerá segura.

    Debajo verá un ejemplo de comando que crea una keystore con un certificado SSL (para realizar este paso, diríjase a la ubicación exacta del archivo keytool.exe file, por ejemplo C:Program Files (x86)Javajre1.8.0_40in>, y luego ejecute el comando):

keytool.exe -genkey -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:Program Files (x86)Apache Software FoundationTomcat 7.0 omcat.keystore" -storepass "sucontraseña" -keypass "sucontraseña" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

Parámetros -storepass y -keypass

Los valores para los parámetros -storepass y -keypass deben ser los mismos.

  1. Exporte el certificado desde el keystore. Debajo verá un ejemplo de comando que exporta la firma del certificado solicitada desde el keystore:

keytool.exe -certreq -alias tomcat -file "C:Install omcat omcat.csr" -keystore "C:Program Files (x86)Apache Software FoundationTomcat 7.0 omcat.keystore" -ext san=dns:ERA6-2008R2

¿Es usuario de Linux?

keytool -certreq -alias tomcat -file "/home/user/tomcat.csr" -keystore "/home/user/tomcat.keystore" -ext san=dns:ERA6-2008R2

Reemplace los valores apropiadamente

Reemplace el valor "C:Install omcat omcat.csr" para el parámetro -file con la ruta real y el nombre de archivo hacia donde desea exportar el certificado. Reemplace el valor ERA6-2008R2 para el parámetro -ext con el hostname real del servidor en el cual se encuentra ejecutándose su Apache Tomcat con la Consola web de ERA.

  1. Obtenga el certificado SSL firmado con la Autoridad de certificación raíz (CA) de su elección.
     
  2. Cuando haya recibido el certificado firmado con el CA raíz, impórtelo en su keystore. Debajo verá un ejemplo de comando que importa un certificado firmado dentro del keystore:

keytool.exe -import -alias tomcat -file "C:Install omcat omcat.cer" -keystore "C:Program Files (x86)Apache Software FoundationTomcat 7.0 omcat.keystore"

¿Es usuario de Linux?

keytool -importcert -alias tomcat -file "/home/user/tomcat.cer" -keystore "/home/user/tomcat.keystore"

Reemplace los valores apropiadamente

Reemplace el valor "C:Install omcat omcat.cer" para el parámetro -file con la ruta real y el nombre de archivo en donde se encuentra el certificado firmado.

  1. Edite el archivo de configuración server.xml con el fin de que la etiqueta sea escrita de manera similar al siguiente ejemplo:



Esta modificación también deshabilita las funcionalidades no seguras de tomcat, conservando habilitado solo HTTPS (scheme= parámetro). Por razones de seguridad, usted podría necesitar también editar tomcat-users.xml para borrar todos los usuarios de tomcat y cargar ServerInfo.properties para ocultar la identidad del tomcat.

  1. Restart the Apache tomcat service.
¿Es usuario de Linux?

sudo service tomcat restart
Note que algunas distribuciones utilizan el nombre de servicio tomcat7.

¿Qué ocurre si la conexión continúa fallando en Linux?

Mensaje de error en el directorio /var/....../tomcat:
failed to initialize end point associated with ProtocolHandler ["http-bio-443"]

Si el problema persiste, cambie el port en el archivo server.xml hacia un valor mayor que el 1024, debido a que los puertos anteriores al 1024 podrían no encontrarse accesibles para un usuario sin permisos root. Si por alguna razón debe usar el puerto 443, aún podrá cambiar el valor y redireccionar el puerto.


 

Asistencia adicional