[KB7856] Configurar una conexión HTTPS/SSL para ESET PROTECT
Escenario
Visualiza un mensaje de advertencia informando Usando una conexión no cifrada. Por favor configure el servidor web para usar HTTPS cuando accede a ESET PROTECT mediante HTTP. Esto ocurre luego de una instalación manual de ESET PROTECT
Ejecute el instalador All-in-one de ESET PROTECT. Seleccione Instalar y acepte el Acuerdo de licencia. En la sección Seleccionar los componentes a instalar, seleccione el casillero Consola web de ESET PROTECT y haga clic en Siguiente. El certificado de conexión segura se generará automáticamente durante la instalación.
Figura 1-1
Generar un certificado HTTPS personalizado para la Consola web de ESET PROTECT
Si se encuentra instalando ESET PROTECT usando el instalador All-in-one y desea emplear un certificado personalizado, seleccione el casillero próximo a Agregar un certificado HTTPS personalizado para la consola web y haga clic en Siguiente.
Los siguientes pasos refieren a certificados para Apache Tomcat, los cuales son usados para garantizar conexiones HTTPS seguras. Para conocer más acerca de las certificaciones de ESET PROTECT lea nuestra Ayuda en línea.
Este procedimiento es realizado en un sistema operativo Microsoft Windows Server de 64-bit (con Java y Apache Tomcat de 64-bit instalados). Algunos parámetros podrían varias dependiendo del sistema operativo que utilice.
Mueva el archivo .pfx del certificado a su directorio de instalación de Tomcat (el nombre de la carpeta podría varias - substituya "carpeta_Tomcat" por el nombre real de la carpeta).
Abra la carpeta conf en el directorio de instalación de Tomcat y localice el archivo Server.xml. Edite este archivo usando un editor de texto (como Notepad ++).
si no existe <Connector luego de </Engine> en Server.xml (por ejemplo cuando realiza una nueva instalación de Apache Tomcat), copie la siguiente variable en Server.xml luego de </Engine> (use sus propios valores para keystoreFile, keystorePass, y keystoreType):
Si aparece <Connector luego de </Engine> en Server.xml (por ejemplo cuando restaura Server.xml luego de la actualización de Apache Tomcat), reemplace los valores de los parámetros que aparecen debajo con su propios valores:
- keystoreFile - Provea la ruta completa al archivo del certificado (.pfx, .keystore, u otro). Si usa un certificado diferente a -JKS (por ejemplo, un archivo .pfx), elimine el keyAlias (aparece en Server.xml de modo predeterminado) y agregue el keystoreType apropiado. - keystorePass - Provea la contraseña del certificado. - keystoreType - Especifique el tipo de certificado.
El certificado.pfx debe contar con una contraseña.
Cree un nuevo certificado y fírmelo
Usar una conexión HTTPS/SSL segura para ESET PROTECT.
Cree un keystore con un certificado SSL. Debe posee instalado Java.
Apache Tomcat requiere Java:
Asegúrese de que Java, ESET PROTECT y Apache Tomcat posean la misma arquitectura (32-bit o 64-bit).
Si cuenta con múltiples versiones de Java instaladas en su sistema, recomendamos que desinstale las versiones antiguas y solo conserve la última.
Desde enero de 2019, las actualizaciones públicas de Oracle JAVA SE 8 para uso de corporativo, comerical o de producción requiere una licencia paga. Si no adquirió una suscripción de JAVA SE puede usar esta guía para cambiar a una alternativa sin costo.
Java incluye la keytool (keytool.exe), que habilita la creación de un certificado mediante línea de comandos. Usted debe generar un nuevo certificado para cada instancia de tomcat (si posee múltiples instancias de tomcat) para asegurar que si uno de los certificados se ve comprometido, otras instancias permanecerán seguras.
Debajo verá un comando de muestra para crear un keystore con un certificado SSL.
Navegue a la ubicación exacta del archivo keytool.exe, por ejemplo C:\Program Files\Java\jre1.8.0_201\bin (el directorio depende del sistema operativo y la versión de Java) y luego ejecute el comando:
Remplace el valor "C:\Install\Tomcat\tomcat.csr" para el parámetro -file con la ruta y el nombre del archivo reales con los cuales desea que el certificado sea exportado.
Reemplace el valor ESETPROTECT por el parámetro -ext con el hostname real del servidor en el cual se ejecuta su Apache Tomcat con ESET PROTECT.
Obtenga el certificado SSL firmado con la Autoridad de certificación raíz (CA) de su elección.
Puede proseguir con el paso 6 si planea importar el CA raíz más tarde. Si elige proceder de este modo, su navegador web podría mostrar advertencias acerca de la necesidad de agregar una excepción para conectar ESET PROTECT vía HTTPS.
Importe el certificado raíz y el certificado intermedio de su CA a su keystore. Estos certificados usualmente se encuentran disponibles (en la página web) por la entidad que firmó el certificado. Es necesario debido a que la respuesta del certificado es validada mediante certificados de confianza del keystore.
Luego de recibir el certificado firmado con la CA raíz, importe la clave pública del la CA y luego el certificado (tomcat.cer) en su keystore. Debajo verá una muestra del comando para importar un certificado firmado en el keystore:
Remplace el valor " C:\Install\Tomcat\tomcat.cer " para el parámetro -file con la ruta actual y el nombre de archivo donde se encuentra ubicado el certificado.
Si desea usar un certificado existente (por ejemplo, el certificado de una compañía), siga estos pasos.
Edite el archivo de configuración server.xml de modo que la etiqueta <Connector sea similar al siguiente ejemplo:
Esta modificación también deshabilita las funcionalidades no seguras de Tomcat, conservando solo HTTPS habilitado (scheme= parámetro). Por razones de seguridad, también podría ser necesario editar tomcat-users.xml para eliminar a todos los usuarios de Tomcat y modificar ServerInfo.properties para ocultar la identidad de Tomcat.