[KB7856] Configurar una conexión HTTPS/SSL para ESET PROTECT

Escenario

Solución

HTTPS

Por razones de seguridad, recomendamos que configure ESET PROTECT para usar HTTPS.

Reinstalar ESET PROTECT utilizando el instalador All-in-one

Reinstale ESET PROTECT utilizando el instalador All-in-one para generar automáticamente el certificado de conexión segura (HTTPS).

  1. Asegúrese de que Apache Tomcat no sea utilizado por ninguna otra aplicación que no sea ESET PROTECT.

  2. Desinstale Apache Tomcat. Este paso también desinstalará ESET PROTECT.

  3. Descargue el instalador All-in-one de ESET PROTECT . Use la misma versión de su ESET PROTECT Server.

  4. Ejecute el instalador All-in-one de ESET PROTECT. Seleccione Instalar y acepte el Acuerdo de licencia. En la sección Seleccionar los componentes a instalar, seleccione el casillero Consola web de ESET PROTECT y haga clic en Siguiente. El certificado de conexión segura se generará automáticamente durante la instalación. 

    Figura 1-1

    Generar un certificado HTTPS personalizado para la Consola web de ESET PROTECT 

    Si se encuentra instalando ESET PROTECT usando el instalador All-in-one y desea emplear un certificado personalizado, seleccione el casillero próximo a Agregar un certificado HTTPS personalizado para la consola web y haga clic en Siguiente.

    Figura 1-2
  5. Complete la instalación de ESET PROTECT. Si instaló ESET PROTECT en un equipo diferente al que cuenta con ESET PROTECT Server, configure la conexión a ESET PROTECT Server.

 


Usa un certificado existente

Certificados de ESET PROTECT

Los siguientes pasos refieren a certificados para Apache Tomcat, los cuales son usados para garantizar conexiones HTTPS seguras. Para conocer más acerca de las certificaciones de ESET PROTECT lea nuestra Ayuda en línea.

Este procedimiento es realizado en un sistema operativo Microsoft Windows Server de 64-bit (con Java y Apache Tomcat de 64-bit instalados). Algunos parámetros podrían varias dependiendo del sistema operativo que utilice.
  1. Mueva el archivo .pfx del certificado a su directorio de instalación de Tomcat (el nombre de la carpeta podría varias - substituya "carpeta_Tomcat" por el nombre real de la carpeta).

    C:\Program Files\Apache Software Foundation\carpeta_Tomcat

  2. Abra la carpeta conf en el directorio de instalación de Tomcat y localice el archivo Server.xml. Edite este archivo usando un editor de texto (como Notepad ++).
    1. si no existe <‎Connector luego de <‎/Engine> en Server.xml (por ejemplo cuando realiza una nueva instalación de Apache Tomcat), copie la siguiente variable en Server.xml luego de <‎/Engine> (use sus propios valores para keystoreFile, keystorePass, y keystoreType):

    2. Si aparece <‎Connector luego de <‎/Engine> en Server.xml (por ejemplo cuando restaura Server.xml luego de la actualización de Apache Tomcat), reemplace los valores de los parámetros que aparecen debajo con su propios valores:

      - keystoreFile
      - Provea la ruta completa al archivo del certificado (.pfx, .keystore, u otro). Si usa un certificado diferente a -JKS (por ejemplo, un archivo .pfx), elimine el keyAlias (aparece en Server.xml de modo predeterminado) y agregue el keystoreType apropiado.
      - keystorePass - Provea la contraseña del certificado.
      - keystoreType - Especifique el tipo de certificado.
Documentación de Apache Tomcat:

Lea la documentación de Apache Tomcat para obtener más información acerca del conector HTTP.

  1. Reinicie el servicio de Tomcat.
Siempre use .pfx con una contraseña

El certificado.pfx debe contar con una contraseña. 


Cree un nuevo certificado y fírmelo

Usar una conexión HTTPS/SSL segura para ESET PROTECT.

  1. Cree un keystore con un certificado SSL. Debe posee instalado Java.
    Apache Tomcat requiere Java:
    • Asegúrese de que Java, ESET PROTECT y Apache Tomcat posean la misma arquitectura (32-bit o 64-bit).
    • Si cuenta con múltiples versiones de Java instaladas en su sistema, recomendamos que desinstale las versiones antiguas y solo conserve la última.  
    • Desde enero de 2019, las actualizaciones públicas de Oracle JAVA SE 8 para uso de corporativo, comerical o de producción requiere una licencia paga. Si no adquirió una suscripción de JAVA SE  puede usar esta guía para cambiar a una alternativa sin costo.

Java incluye la keytool (keytool.exe), que habilita la creación de un certificado mediante línea de comandos. Usted debe generar un nuevo certificado para cada instancia de  tomcat (si posee múltiples instancias de tomcat) para asegurar que si uno de los certificados se ve comprometido, otras instancias permanecerán seguras.

Debajo verá un comando de muestra para crear un keystore con un certificado SSL.

Navegue a la ubicación exacta del archivo keytool.exe, por ejemplo C:\Program Files\Java\jre1.8.0_201\bin (el directorio depende del sistema operativo y la versión de  Java) y luego ejecute el comando:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

Parámetros -storepass y -keypass
Los valores para -storepass y -keypass deben ser los mismos.
  1. Exporte el certificado del keystore. Debajo verá un comando de muestra para exportar la solicitud de firma del certificado desde el keystore:

keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT

Remplace correctamente los valores 
Remplace el valor "C:\Install\Tomcat\tomcat.csr" para el parámetro -file con la ruta y el nombre del archivo reales con los cuales desea que el certificado sea exportado.

Reemplace el valor ESETPROTECT por el parámetro -ext con el hostname real del servidor en el cual se ejecuta su Apache Tomcat con ESET PROTECT.
  1. Obtenga el certificado SSL firmado con la Autoridad de certificación raíz (CA) de su elección.

    Puede proseguir con el paso 6 si planea importar el CA raíz más tarde. Si elige proceder de este modo, su navegador web podría mostrar advertencias acerca de la necesidad de agregar una excepción para conectar ESET PROTECT vía HTTPS.
     
  2. Importe el certificado raíz y el certificado intermedio de su CA a su keystore. Estos certificados usualmente se encuentran disponibles (en la página web) por la entidad que firmó el certificado. Es necesario debido a que la respuesta del certificado es validada mediante certificados de confianza del keystore.

    keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"

    keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"

  3. Luego de recibir el certificado firmado con la CA raíz, importe la clave pública del la CA y luego el certificado (tomcat.cer) en su keystore. Debajo verá una muestra del comando para importar un certificado firmado en el keystore:

keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"

Remplace los valores adecuadamente
Remplace el valor " C:\Install\Tomcat\tomcat.cer " para el parámetro -file con la ruta actual y el nombre de archivo donde se encuentra ubicado el certificado.

Si desea usar un certificado existente (por ejemplo, el certificado de una compañía), siga estos pasos.

  1. Edite el archivo de configuración server.xml de modo que la etiqueta <‎Connector sea similar al siguiente ejemplo:

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>

Esta modificación también deshabilita las funcionalidades no seguras de Tomcat, conservando solo HTTPS habilitado (scheme= parámetro). Por razones de seguridad, también podría ser necesario editar tomcat-users.xml para eliminar a todos los usuarios de Tomcat y modificar ServerInfo.properties para ocultar la identidad de Tomcat.

  1. Reinicie el servicio de Apache Tomcat.