[KB6721] HTTPS/SSL kapcsolat beállítása az ESET Security Management Center Web Console-hoz (7.x)

Probléma

  • Az ESET Security Management Center HTTP kapcsolaton keresztüli elérésekor a következő hibaüzenetet kapja: Using unencrypted connection! Please configure the webserver to use HTTPS. Ez a hibaüzenet az ESMC Web Console manuális telepítése után jelenhet meg.

    Biztonsági okokból erősen ajánlott, hogy úgy állítsa be az ESMC Web Console-t, hogy az HTTPS kapcsolatot használjon.

Megoldás

Az ESMC Web Console-t kétféleképpen lehet beállítani a HTTPS használatához:

 


Az ESMC Web Console újratelepítése All-in-one telepítő használatával

Újratelepítheti Az ESMC webkonzolt az All-in-one telepítővel, a biztonságos kapcsolat (HTTPS) használatához szükséges tanúsítvány automatikus létrehozásához.

Kövesse az alábbi lépéseket:

  1. Bizonyosodjon meg arról, hogy az Apache Tomcat alkalmazást az ESMC Web Console-on kívül nem használja semmilyen más program.

  2. Távolítsa el az Apache Tomcat alkalmazást. Ez a lépés az ESMC Web Console-t is el fogja távolítani.

  3. Töltse le az ESMC All-in-one telepítőt - Használja az ESMC Server-rel azonos verziót:
    - 7.0 32-bites verzió
    - 7.0 64-bites verzió
    - 7.1-es verzió

  4. Futtassa az ESMC All-in-one telepítőjét. Válassza a TelepítésElfogadom a licencszerződés feltételeit lehetőséget → válassza ki a telepítendő összetevőt: ESET Security Management Center Webconsole. A biztonságos csatlakozáshoz szükséges tanúsítvány automatikusan fog generálódni a telepítés során.

    Egyedi HTTPS tanúsítvány készítése az ESMC 7.1 Web Console-hoz:

    Ha az ESMC 7.1 webkonzolt az All-in-one telepítővel telepíti, és egyéni tanúsítványt szeretne használni, akkor válassza az Egyéni HTTPS-tanúsítvány hozzáadása a Webkonzolhoz lehetőséget:

     

     

  5. Végezze el az ESMC Web Console telepítését. Ha az ESMC webkonzolt nem ugyanarra a gépre telepítette mint az ESMC Server-t, akkor állítsa be a kapcsolatot az ESMC Server-rel.

 


A tanúsítvány kézi hozzáadásához kövesse az alábbi lépéseket.

Meglévő tanúsítvány használata

  • Az alábbi lépések a HTTPS-kapcsolatok biztosításához használható Apache Tomcat tanúsítványokra vonatkoznak. Az ESET Security Management Center tanúsítványaival kapcsolatos információkért olvassa el az Online Súgót.
  • Az alábbiakban ismertetett lépések egy 64 bites Microsoft Windows Server operációs rendszeren lettek végrehajtva (64 bites Java és 64 bites Apache Tomcat alkalmazásokkal). Az egyes útvonalak eltérhetnek a használt operációs rendszertől függően.
  1. Helyezze át a .pfx kiterjesztésű tanúsítványfájlt a Tomcat telepítési könyvtárába (a mappa neve változhat - a "Tomcat_folder" helyett adja meg az aktuális Tomcat mappájának a nevét).

    C:\Program Files\Apache Software Foundation\Tomcat_folder

  2. Nyissa meg a conf mappát a Tomcat telepítési könyvtárában, és keresse meg a Server.xml fájlt. Nyissa meg a fájlt egy szövegszerkesztővel (például a Notepad ++).

    1. Ha a Server.xml fájlban nem található <‎Connector a <‎/Engine> kifejezés után (pl. új Apache Tomcat telepítéskor), akkor másolja át a Server.xml fájlba a <‎/Engine> kifejezés után a következő karaktersort (a keystoreFile, keystorePass, és keystoreType esetén használja a saját értékeit):

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />


    2. Ha a Server.xml fájlban a <‎Connector kifejezést követően szerepel a <‎/Engine> kifejezés (pl. amikor az Apache Tomcat frissítésekor a Server.xml állományt visszaállítja) akkor az alábbi paraméterek értékeit cserélje ki a saját értékeire:

      - keystoreFile
      - A tanúsítvány fájl (.pfx, .keystore, stb.) teljes elérési útját tartalmazza. Ha nem JKS tanúsítványt használ (pl. egy .pfx fájlt), törölje a keyAlias-t (alapértelmezés szerint a Server.xml-ben található) és adja meg a megfelelő keystoreType-ot.
      - keystorePass - A tanúsítvány jelszavát biztosítja.
      - keystoreType - Meghatározza a tanúsítvány típusát.
Apache Tomcat dokumentáció:
A HTTP Connector-ral kapcsolatos bővebb információkért olvassa el az Apache Tomcat dokumentációját.
  1. Indítsa újra a Tomcat szolgáltatást.
A .pfx használata esetén mindíg adjon meg jelszót!
A .pfx kiterjesztésű tanúsítvány használatakor tilos az üres jelszómező használata.
Ön Linux felhasználó? - Helyezze át a tanúsítványfájlt (pl. certificate_file.pfx) a Tomcat konfigurációs mappájába (pl. /etc/tomcat/).
- Nyissa meg az /etc/tomcat/ útvonalon található (az útvonal a használt Linux disztribúciótól függően eltérhet) Server.xml fájlt.
- Ha nincs <‎Connector a <‎Service name="Catalina"> kifejezés után a Server.xml fájlban, akkor másolja be utána a következő karaktersort a Server.xml fájlba (a keystoreFile, keystorePass, és keystoreType esetén használja a saját értékeit):

<Connector port="8443"
               protocol="HTTP/1.1" 
               SSLEnabled="true"
               maxThreads="150"
               scheme="https"
               secure="true"
               clientAuth="false"
               sslEnabledProtocols="TLSv1.2,TLSv1.3"
               ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
                        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
                        TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                        TLS_RSA_WITH_AES_128_CBC_SHA256,
                        TLS_RSA_WITH_AES_128_GCM_SHA256,
                        TLS_RSA_WITH_AES_128_CBC_SHA,
                        TLS_RSA_WITH_AES_256_CBC_SHA256,
                        TLS_RSA_WITH_AES_256_GCM_SHA384,
                        TLS_RSA_WITH_AES_256_CBC_SHA"
               keystoreFile="/etc/tomcat/certificate_file.pfx"
               keystorePass="Secret_Password_123"
               keystoreType="PKCS12"
               />​

 
- Ha a <‎Service name="Catalina"> kifejezés után van <‎Connector kifejezés, akkor folytassa a feljebb található 2.b ponttal.
- Indítsa újra a Tomcat szolgáltatást (service Tomcat stop, service Tomcat start)

Új tanúsítvány készítése és aláírása

Az ESMC Web Console biztonságos HTTPS/SSL kapcsolaton keresztüli eléréséhez kövesse az alábbi lépéseket:

  1. Készítsen egy keystore-t SSL certificate-tel (SSL tanúsítvánnyal). A művelet elvégzéséhez a Java-t telepíteni kell a számítógépre.
    Az Apache Tomcat használatához a Java telepített verziója szükséges:
    • Ellenőrizze, hogy a Java, az ESMC és az Apache Tomcat azonos bitszámú verziója (32 bites vagy 64 bites) van-e telepítve a számítógépre.
    • Ha több Java verzió van telepítve a rendszerére, azt javasoljuk, hogy távolítsa el a régebbi Java verziókat, és csak a legújabb Java-t hagyja meg.
    • 2019. januárjától az Oracle JAVA SE 8 nyilvános frissítéséhez üzleti, kereskedelmi vagy termelési célokra kereskedelmi licenc szükséges. Ha nem szeretné megvásárolni a JAVA SE-t, akkor a költségmentes alternatívára való áttérés módjáról itt olvashat.

A Java tartalmaz egy ún. keytool-t (keytool.exe), amely lehetővé teszi a tanúsítványok parancssoron keresztüli létrehozását. Minden egyes tomcat példányhoz új tanúsítványt kell generálni (ha több tomcat példányt használ), annak biztosítása érdekében, hogy ha az egyik tanúsítvány megsérülne vagy megbízhatatlanná válna, akkor a többi  tomcat példány biztonságban maradjon.

Az alábbiakban egy SSL tanúsítványos keystore létrehozásához szükséges példaparancs látható.

Keresse meg a keytool.exe fájl pontos helyét, például a C:\Program Files\Java\jre1.8.0_201\bin (az elérési út az operációs rendszertől és a Java verziótól függően eltérhet a példában szereplőtől), majd futtassa a következő parancsot:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

Ön Linux felhasználó? keytool -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/etc/tomcat/tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
A /etc/tomcat/tomcat.keystore elérési út csak egy példa, használja a saját rendszerében lévő aktuális elérési utat.

-storepass és -keypass paraméterek

A -storepass és a -keypass értékeinek meg kell egyezniük.
  1. Exportálja a keystore-ból a tanúsítványt. Az alábbi mintaparanccsal a tanúsítvány aláírására vonatkozó kérés exportálható a keystore-ból:

keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESMC7-2008R2

Ön Linux felhasználó? keytool -certreq -alias tomcat -file "/etc/tomcat/tomcat.csr" -keystore "/etc/tomcat/tomcat.keystore" -ext san=dns:ESMC7-2008R2

Az értékek megfelelő behelyettesítése

A -file paramétert követő "C:\Install\Tomcat\tomcat.csr" értéket cserélje ki azzal az elérési útvonallal és fájlnévvel, ahova és amilyen néven a tanúsítványt exportálni szeretné.

A -ext paraméterhez tartozó ESMC7-2008R2 értéket cserélje ki arra az aktuális szerver host nevére, amelyen az Apache Tomcat és az ESMC Web Console fut.
  1. SSL tanúsítvány aláírása egy Root Certificate Authority (CA)-val.

    Ha csak később szeretne egy Root CA-t importálni, akkor folytassa a 6. lépéssel. Ha úgy dönt, hogy így folytatja, akkor a böngészője figyelmeztetéseket jeleníthet meg a self-signed (önaláírt) tanúsítványról, ami miatt kivételeket kell létrehoznia ahhoz, hogy HTTPS-en keresztül csatlakozhasson az ESMC Web Console-hoz.
     
  2. Importálja a CA (hitelesítésszolgáltató) gyökér- és közbenső tanúsítványát a kulcstárolóba (keystore). Ezeket a tanúsítványokat általában a weboldalon elérhetővé teszi a tanúsítványt aláíró szervezet. Ez azért szükséges, mert a tanúsítványválasz a kulcstároló megbízható tanúsítványaival kerül érvényesítésre.

    keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"

    keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"

    Ön Linux felhasználó?

    keytool -import -alias root -file "/etc/Tomcat/root.crt" -keystore "/etc/tomcat/tomcat.keystore"

    keytool -import -alias intermediate -file "/etc/Tomcat/intermediate.crt.pem" -keystore "/etc/tomcat/tomcat.keystore"


  3. Miután megkapta a gyökér CA-val aláírt tanúsítványt, importálja a CA nyilvános kulcsát, majd a tanúsítványt (tomcat.cer) a kulcstárolóba. Az alábbiakban egy mintaparancs látható, amely segítségével aláírt tanúsítványt lehet a kulcstárolóba importálni:

keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"

Ön Linux felhasználó? keytool -import -alias tomcat -file "/etc/tomcat/tomcat.cer" -keystore "/etc/tomcat/tomcat.keystore"

Az értékek megfelelő behelyettesítése

A -file paramétert követő "C:\Install\Tomcat\tomcat.cer" értéket cserélje ki azzal az elérési útvonallal és fájlnévvel, ahol és amilyen néven a tanúsítvány található.

Ha már meglévő tanúsítványt (például vállalati tanúsítványt) szeretne használni, kövesse az itt olvasható utasításokat

  1. Módosítsa a server.xml beállításait úgy, hogy a <‎Connector bejegyzés hasonló legyen az alábbi példához:

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>

Ez a módosítás (scheme= paraméter) a Tomcat-ben kikapcsolja a nem biztonságos funkciókat, így csak a HTTPS funkció marad bekapcsolt állapotban. Biztonsági okokból a tomcat-users.xml fájlt is módosítani kell úgy hogy annak hatására törlődjön az összes Tomcat felhasználó, illetve módosítani kell a ServerInfo.properties fájlt is, hogy a Tomcat azonosítója rejtve maradjon.

Ön Linux felhasználó?
<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat/tomcat.keystore" keystorePass="yourpassword"/>

 


  1. Indítsa újra az Apache Tomcat szolgáltatást.
Ön Linux felhasználó? sudo service tomcat restart
Vegye figyelembe, hogy egyes disztribúciók a tomcat7 szolgáltatásnevet használják.

Mit tegyek ha továbbra sem működik Linuxon a biztonságos kapcsolat?

A hibaüzenet a /var/....../tomcat könyvtárban kerül tárolásra:
failed to initialize end point associated with ProtocolHandler ["http-bio-443"] 
Ha a probléma továbra is tapasztaható, akkor változtassa meg a port számát a server.xml fájlban úgy, hogy annak értéke magasabb legyen mint 1024. Az 1024-nél alacsonyabb port szám esetén a nem root jogokkal rendelkező felhasználók számára a port elérhetetlen lesz. Ha valamilyen oknál fogva elengedhetetlen, hogy a 443-as portot használja, akkor még így is módosíthatja más számra a port értékét, majd pedig a port átirányításával (port forwarding) hidalhatja át problémát. Kövesse az alábbi lépéseket a port átirányításának engedélyezéséhez (pl. a 443-as portról a 8443-as portra):
  1. Nyissa meg és módosítsa a tűzfal konfigurációs állományát:
    nano /etc/sysconfig/iptables
     
  2. Adja hozzá ezt a sort a *nat-tal kezdődő és COMMIT-tal végződő szakaszhoz:
    -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
     
  3. Kapcsolja ki az SELinux-ot.

 

További segítségnyújtás