Probléma

Megoldás

Az ESMC Web Console-t kétféleképpen lehet beállítani a HTTPS használatához:

• Automatikusan: Az ESMC Web Console újratelepítése az All-in-one telepítő használatával
• Kézzel: Meglévő tanúsítvány használata vagy egy új tanúsítvány készítése

Az ESMC Web Console újratelepítése All-in-one telepítő használatával

Újratelepítheti Az ESMC webkonzolt az All-in-one telepítővel, a biztonságos kapcsolat (HTTPS) használatához szükséges tanúsítvány automatikus létrehozásához.

Kövesse az alábbi lépéseket:

1. Bizonyosodjon meg arról, hogy az Apache Tomcat alkalmazást az ESMC Web Console-on kívül nem használja semmilyen más program.
   
   
2. Távolítsa el az Apache Tomcat alkalmazást. Ez a lépés az ESMC Web Console-t is el fogja távolítani.
   
   
3. Töltse le az ESMC All-in-one telepítőt - Használja az ESMC Server-rel azonos verziót:
   - 7.0 32-bites verzió
   - 7.0 64-bites verzió
   - 7.1-es verzió
   
   
4. Futtassa az ESMC All-in-one telepítőjét. Válassza a Telepítés → Elfogadom a licencszerződés feltételeit lehetőséget → válassza ki a telepítendő összetevőt: ESET Security Management Center Webconsole. A biztonságos csatlakozáshoz szükséges tanúsítvány automatikusan fog generálódni a telepítés során.
   
   

   Egyedi HTTPS tanúsítvány készítése az ESMC 7.1 Web Console-hoz:

   Ha az ESMC 7.1 webkonzolt az All-in-one telepítővel telepíti, és egyéni tanúsítványt szeretne használni, akkor válassza az Egyéni HTTPS-tanúsítvány hozzáadása a Webkonzolhoz lehetőséget:

   

    

   

    

5. Végezze el az ESMC Web Console telepítését. Ha az ESMC webkonzolt nem ugyanarra a gépre telepítette mint az ESMC Server-t, akkor állítsa be a kapcsolatot az ESMC Server-rel.

A tanúsítvány kézi hozzáadásához kövesse az alábbi lépéseket.

Meglévő tanúsítvány használata

• Az alábbi lépések a HTTPS-kapcsolatok biztosításához használható Apache Tomcat tanúsítványokra vonatkoznak. Az ESET Security Management Center tanúsítványaival kapcsolatos információkért olvassa el az Online Súgót.
• Az alábbiakban ismertetett lépések egy 64 bites Microsoft Windows Server operációs rendszeren lettek végrehajtva (64 bites Java és 64 bites Apache Tomcat alkalmazásokkal). Az egyes útvonalak eltérhetnek a használt operációs rendszertől függően.

1. Helyezze át a .pfx kiterjesztésű tanúsítványfájlt a Tomcat telepítési könyvtárába (a mappa neve változhat - a "Tomcat_folder" helyett adja meg az aktuális Tomcat mappájának a nevét).
   
   C:\Program Files\Apache Software Foundation\Tomcat_folder
   
   
2. Nyissa meg a conf mappát a Tomcat telepítési könyvtárában, és keresse meg a Server.xml fájlt. Nyissa meg a fájlt egy szövegszerkesztővel (például a Notepad ++).
   
   
   1. Ha a Server.xml fájlban nem található <‎Connector a <‎/Engine> kifejezés után (pl. új Apache Tomcat telepítéskor), akkor másolja át a Server.xml fájlba a <‎/Engine> kifejezés után a következő karaktersort (a keystoreFile, keystorePass, és keystoreType esetén használja a saját értékeit):
      
      

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />

      


   2. Ha a Server.xml fájlban a <‎Connector kifejezést követően szerepel a <‎/Engine> kifejezés (pl. amikor az Apache Tomcat frissítésekor a Server.xml állományt visszaállítja) akkor az alábbi paraméterek értékeit cserélje ki a saját értékeire:

- keystoreFile - A tanúsítvány fájl (.pfx, .keystore, stb.) teljes elérési útját tartalmazza. Ha nem JKS tanúsítványt használ (pl. egy .pfx fájlt), törölje a keyAlias-t (alapértelmezés szerint a Server.xml-ben található) és adja meg a megfelelő keystoreType-ot.
      - keystorePass - A tanúsítvány jelszavát biztosítja.
      - keystoreType - Meghatározza a tanúsítvány típusát.

3. Indítsa újra a Tomcat szolgáltatást.

<Connector port="8443"
               protocol="HTTP/1.1" 
               SSLEnabled="true"
               maxThreads="150"
               scheme="https"
               secure="true"
               clientAuth="false"
               sslEnabledProtocols="TLSv1.2,TLSv1.3"
               ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
                        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                        TLS_RSA_WITH_AES_128_CBC_SHA256,
                        TLS_RSA_WITH_AES_128_GCM_SHA256,
                        TLS_RSA_WITH_AES_128_CBC_SHA,
                        TLS_RSA_WITH_AES_256_CBC_SHA256,
                        TLS_RSA_WITH_AES_256_GCM_SHA384,
                        TLS_RSA_WITH_AES_256_CBC_SHA"
               keystoreFile="/etc/tomcat/certificate_file.pfx"
               keystorePass="Secret_Password_123"
               keystoreType="PKCS12"
               />​

Új tanúsítvány készítése és aláírása

Az ESMC Web Console biztonságos HTTPS/SSL kapcsolaton keresztüli eléréséhez kövesse az alábbi lépéseket:

1. Készítsen egy keystore-t SSL certificate-tel (SSL tanúsítvánnyal). A művelet elvégzéséhez a Java-t telepíteni kell a számítógépre.
   

   Az Apache Tomcat használatához a Java telepített verziója szükséges:

   • Ellenőrizze, hogy a Java, az ESMC és az Apache Tomcat azonos bitszámú verziója (32 bites vagy 64 bites) van-e telepítve a számítógépre.
   • Ha több Java verzió van telepítve a rendszerére, azt javasoljuk, hogy távolítsa el a régebbi Java verziókat, és csak a legújabb Java-t hagyja meg.
   • 2019. januárjától az Oracle JAVA SE 8 nyilvános frissítéséhez üzleti, kereskedelmi vagy termelési célokra kereskedelmi licenc szükséges. Ha nem szeretné megvásárolni a JAVA SE-t, akkor a költségmentes alternatívára való áttérés módjáról itt olvashat.

A Java tartalmaz egy ún. keytool-t (keytool.exe), amely lehetővé teszi a tanúsítványok parancssoron keresztüli létrehozását. Minden egyes tomcat példányhoz új tanúsítványt kell generálni (ha több tomcat példányt használ), annak biztosítása érdekében, hogy ha az egyik tanúsítvány megsérülne vagy megbízhatatlanná válna, akkor a többi  tomcat példány biztonságban maradjon.

Az alábbiakban egy SSL tanúsítványos keystore létrehozásához szükséges példaparancs látható.

Keresse meg a keytool.exe fájl pontos helyét, például a C:\Program Files\Java\jre1.8.0_201\bin (az elérési út az operációs rendszertől és a Java verziótól függően eltérhet a példában szereplőtől), majd futtassa a következő parancsot:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

2. Exportálja a keystore-ból a tanúsítványt. Az alábbi mintaparanccsal a tanúsítvány aláírására vonatkozó kérés exportálható a keystore-ból:

keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESMC7-2008R2

3. SSL tanúsítvány aláírása egy Root Certificate Authority (CA)-val.
   
   Ha csak később szeretne egy Root CA-t importálni, akkor folytassa a 6. lépéssel. Ha úgy dönt, hogy így folytatja, akkor a böngészője figyelmeztetéseket jeleníthet meg a self-signed (önaláírt) tanúsítványról, ami miatt kivételeket kell létrehoznia ahhoz, hogy HTTPS-en keresztül csatlakozhasson az ESMC Web Console-hoz.
    
4. Importálja a CA (hitelesítésszolgáltató) gyökér- és közbenső tanúsítványát a kulcstárolóba (keystore). Ezeket a tanúsítványokat általában a weboldalon elérhetővé teszi a tanúsítványt aláíró szervezet. Ez azért szükséges, mert a tanúsítványválasz a kulcstároló megbízható tanúsítványaival kerül érvényesítésre.
   
   keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"

keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"

   
   Ön Linux felhasználó?
   
   

   keytool -import -alias root -file "/etc/Tomcat/root.crt" -keystore "/etc/tomcat/tomcat.keystore"
   
   keytool -import -alias intermediate -file "/etc/Tomcat/intermediate.crt.pem" -keystore "/etc/tomcat/tomcat.keystore"
   
   
   
5. Miután megkapta a gyökér CA-val aláírt tanúsítványt, importálja a CA nyilvános kulcsát, majd a tanúsítványt (tomcat.cer) a kulcstárolóba. Az alábbiakban egy mintaparancs látható, amely segítségével aláírt tanúsítványt lehet a kulcstárolóba importálni:

keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"

Ha már meglévő tanúsítványt (például vállalati tanúsítványt) szeretne használni, kövesse az itt olvasható utasításokat. 

6. Módosítsa a server.xml beállításait úgy, hogy a <‎Connector bejegyzés hasonló legyen az alábbi példához:

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>

Ez a módosítás (scheme= paraméter) a Tomcat-ben kikapcsolja a nem biztonságos funkciókat, így csak a HTTPS funkció marad bekapcsolt állapotban. Biztonsági okokból a tomcat-users.xml fájlt is módosítani kell úgy hogy annak hatására törlődjön az összes Tomcat felhasználó, illetve módosítani kell a ServerInfo.properties fájlt is, hogy a Tomcat azonosítója rejtve maradjon.

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat/tomcat.keystore" keystorePass="yourpassword"/>

7. Indítsa újra az Apache Tomcat szolgáltatást.