[KB7856] HTTPS/SSL kapcsolat beállítása az ESET PROTECT On-Prem számára

MEGJEGYZÉS:

Az oldal fordítása mesterséges intelligencia segítségével készült. Az eredeti szöveg megjelenítéséhez válassza ki az oldal jobb felső részén található legördülő menüből az angol nyelvet. Ha kérdése merülne fel ESET termékekkel kapcsolatban, forduljon ügyfélszolgálatunkhoz!

Kiadvány

Megoldás

HTTPS

Biztonsági okokból javasoljuk, hogy az ESET PROTECT On-Prem rendszert HTTPS használatára állítsa be.

Az ESET PROTECT Webkonzol újratelepítése az All-in-one telepítőprogrammal

Telepítse újra az ESET PROTECT webkonzolt a Minden az egyben telepítővel, hogy a biztonságos kapcsolat (HTTPS) tanúsítványa automatikusan létrejöjjön.

  1. Győződjön meg róla, hogy az Apache Tomcat-et az ESET PROTECT On-Prem alkalmazáson kívül más alkalmazás nem használja.

  2. Távolítsa el az Apache Tomcat-et. Ez a lépés az ESET PROTECT Webkonzolt is eltávolítja.

  3. Töltse le az ESET PROTECT On-Prem All-in-one telepítőprogramot. Használja ugyanazt a verziót, mint az ESET PROTECT Server.

  4. Futtassa az ESET PROTECT On-Prem All-in-one telepítőprogramot. Válassza a Telepítés lehetőséget, és fogadja el az EULA-t. A Telepítendő összetevők kiválasztása alatt jelölje be az ESET PROTECT Webconsole melletti jelölőnégyzetet, majd kattintson a Tovább gombra. A biztonságos kapcsolat tanúsítványa automatikusan generálódik a telepítés során.

    1-1. ábra
    Egyéni HTTPS tanúsítvány generálása az ESET PROTECT webes konzolhoz

    Ha az ESET PROTECT On-Prem programot az All-in-one telepítővel telepíti, használhat egyéni HTTPS-tanúsítványt a Windowshoz.

    1. Jelölje be az Add Custom HTTPS certificate for Webconsole melletti jelölőnégyzetet, majd kattintson a Next (Tovább) gombra.

      1-2. ábra
    2. Kattintson a Tallózás gombra, és válasszon ki egy érvényes tanúsítványt (.pfx vagy .p12 fájlt), és írja be a jelszót (vagy hagyja üresen a Jelszó mezőt, ha nincs jelszó). A tanúsítványt a Tomcat-kiszolgálóra kell telepíteni a webkonzol eléréséhez. A folytatáshoz kattintson a Tovább gombra.

      Az egyéni HTTPS-tanúsítványnak a következő követelményeknek kell megfelelnie:

      • Helyes fájl (.pfx, .p12) kiválasztva
      • Helyes jelszó megadása
      • A tanúsítvány rendelkezik magánkulccsal
      • A tanúsítvány érvényes

      1-3. ábra
  5. Az ESET PROTECT On-Prem teljes telepítése. Ha az ESET PROTECT On-Prem rendszert az ESET PROTECT szervertől eltérő számítógépre telepítette, konfigurálja az ESET PROTECT szerverhez való kapcsolódást.

Meglévő tanúsítvány használata

ESET PROTECT On-Prem tanúsítványok

Az alábbi lépések az Apache Tomcat tanúsítványaira vonatkoznak, amelyek a biztonságos HTTPS-kapcsolatok biztosítására szolgálnak. Az ESET PROTECT On-Prem tanúsítványokkal kapcsolatos információkért tekintse meg az Online súgó témakörét.

Az alábbi lépéseket 64 bites Microsoft Windows Server operációs rendszeren kell végrehajtani (64 bites Java és 64 bites Apache Tomcat telepítéssel). Néhány elérési útvonal az Ön által használt operációs rendszertől függően változhat.

  1. A tanúsítvány .pfx fájlját helyezze át a Tomcat telepítési könyvtárába (a mappa neve változhat –  a "Tomcat_folder" helyett a tényleges mappa nevével).

    C:\Program Files\Apache Software Foundation\Tomcat_folder

  2. Nyissa meg a conf mappát a Tomcat telepítési könyvtárában, és keresse meg a Server.xml fájlt. Szerkessze ezt a fájlt egy szövegszerkesztővel (például Notepad ++).

    1. Ha nincs <‎Connector a után <‎/Engine> a Server.xml állományban (például az Apache Tomcat új telepítésekor), másolja a következő karakterláncot a Server.xml állományba a következő után <‎/Engine> (használja a saját értékeit a keystoreFile, keystorePass, és keystoreType):

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?

    1. Ha <‎Connector jelen van a <‎/Engine> a Server.xml állományban (például amikor az Apache Tomcat frissítése után visszaállítja a Server.xml állományt), helyettesítse az alábbi paraméterek értékeit a saját értékeivel:

      - keystoreFile - Adja meg a tanúsítványfájl teljes elérési útvonalát (.pfx, .keystore, vagy más). Ha nem JKS-tanúsítványt használ (például egy .pfx fájlt), törölje a keyAlias (alapértelmezés szerint a Server.xml fájlban van jelen), és adjuk hozzá a megfelelő keystoreType.
      - keystorePass - Adja meg a tanúsítvány jelszavát.
      - keystoreType - Adja meg a tanúsítvány típusát
      Apache Tomcat dokumentáció

      A HTTP-konnektorral kapcsolatos további információkért olvassa el az Apache Tomcat dokumentációját.

  1. Indítsa újra a Tomcat szolgáltatást.

    Mindig .pfx jelszóval használd

    A .pfx tanúsítványnak jelszóval kell rendelkeznie. 


Új tanúsítvány létrehozása és aláírása

Használjon biztonságos HTTPS/SSL-kapcsolatot az ESET PROTECT On-Prem számára.

Az Apache Tomcathez Java szükséges:
  • Győződjön meg arról, hogy a Java, az ESET PROTECT On-Prem és az Apache Tomcat bitsebessége megegyezik (32 bites vagy 64 bites).
  • Ha több Java-verzió van telepítve a rendszerén, javasoljuk, hogy távolítsa el a korábbi Java-verziókat, és csak a legújabb Javát tartsa meg.
  • 2019 januárjától az Oracle JAVA SE 8 nyilvános frissítései üzleti, kereskedelmi vagy termelési célú felhasználáshoz kereskedelmi licenc szükséges. Ha nem vásárol JAVA SE előfizetést, használja ezt az útmutatót a költségmentes alternatívára való áttéréshez.
  1. Hozzon létre egy kulcstárolót SSL-tanúsítvánnyal. A Java-t telepíteni kell.

    -storepass és -keypass paraméterek

    A -storepass és -keypass értékeknek azonosnak kell lenniük.

A Java tartalmazza a keytool (keytool.exe), amely lehetővé teszi a tanúsítvány létrehozását a parancssoron keresztül. Minden egyes Tomcat-példányhoz (ha több Tomcat-példánya van) új tanúsítványt kell létrehoznia, hogy a többi Tomcat-példány biztonságban maradjon, ha az egyik tanúsítvány sérül.

Az alábbiakban egy SSL-tanúsítványt tartalmazó kulcstároló létrehozására szolgáló mintaparancs látható.

Navigáljon a keytool.exe fájl pontos helyére, például C:\Program Files\Java\jre1.8.0_201\bin (a könyvtár az operációs rendszertől és a Java verziójától függ), majd futtassa a parancsot:

keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\"Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

  1. Exportálja a tanúsítványt a kulcstárból. Az alábbiakban egy minta parancsot mutatunk be a tanúsítvány aláírási kérésének a kulcstárból történő exportálásához:

    Az értékek megfelelő cseréje

    A -file paraméter "C:\Install\Tomcat\tomcat.csr" értékét helyettesítse a tanúsítvány exportálásának tényleges elérési útvonalával és fájlnevével.
    A -extparaméter ESETPROTECT értékét helyettesítse annak a kiszolgálónak a tényleges állomásnevével, amelyen az Apache Tomcat az ESET PROTECT On-Prem rendszerrel fut.

keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation"\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT

  1. Szerezze be az SSL-tanúsítványt az Ön által választott tanúsítványkiadóval (CA) aláíratva.

A 6. lépéssel folytathatja, ha később tervezi a Root CA importálását. Ha ezt az utat választja, a webböngészője figyelmeztetéseket jeleníthet meg az önaláírt tanúsítványról, és az ESET PROTECT On-Prem rendszerhez HTTPS-en keresztül történő csatlakozáshoz kivételt kell adnia.

  1. Importálja a hitelesítésszolgáltató gyökértanúsítványát és közbenső tanúsítványát a kulcstárolóba. A tanúsítványt aláíró szervezet általában elérhetővé teszi ezeket a tanúsítványokat. Erre azért van szükség, mert a tanúsítványválaszt a kulcstárolóból származó megbízható tanúsítványok segítségével érvényesítik.

keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"

keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"

  1. Miután megkapta a Root CA által aláírt tanúsítványt, importálja a CA nyilvános kulcsát, majd a tanúsítványt (tomcat.cer) a kulcstárolójába. Az alábbiakban egy mintaparancsot mutatunk be, amely egy aláírt tanúsítványt importál a kulcstárolóba:

    Az értékek megfelelő cseréje

    Cserélje ki az értéket " C:\Install\Tomcat\tomcat.cer " a -file paraméter értékét a tényleges elérési úttal és fájlnévvel, ahol az aláírt tanúsítvány található.

keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"

Ha már meglévő tanúsítványt (például céges tanúsítványt) szeretne használni, kövesse az alábbi utasításokat.

  1. Szerkessze a server.xml konfigurációs fájlt úgy, hogy a tag <‎Connector az alábbi példához hasonlóan íródjon:

<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>

Ez a módosítás a nem biztonságos Tomcat funkciókat is letiltja, csak a HTTPS marad engedélyezve (scheme= paraméter). Biztonsági okokból szükség lehet arra is, hogy szerkessze a tomcat-users.xml hogy törölje az összes Tomcat felhasználót, és módosítsa a ServerInfo.properties állományt a Tomcat személyazonosságának elrejtése érdekében.

  1. Indítsa újra az Apache Tomcat szolgáltatást.