Kiadvány
- A következő figyelmeztető üzenetet kapja: "Titkosítatlan kapcsolat használata! Kérjük, konfigurálja a webkiszolgálót HTTPS használatára", ha az ESET PROTECT On-Prem rendszerhez HTTP-n keresztül fér hozzá. Ez az ESET PROTECT On-Prem manuális telepítése után következik be
- Az ESET PROTECT On-Prem újratelepítése az All-in-one telepítővel
- Meglévő tanúsítvány használata
- Új tanúsítvány létrehozása
Megoldás
Az ESET PROTECT Webkonzol újratelepítése az All-in-one telepítőprogrammal
Telepítse újra az ESET PROTECT webkonzolt a Minden az egyben telepítővel, hogy a biztonságos kapcsolat (HTTPS) tanúsítványa automatikusan létrejöjjön.
-
Győződjön meg róla, hogy az Apache Tomcat-et az ESET PROTECT On-Prem alkalmazáson kívül más alkalmazás nem használja.
-
Távolítsa el az Apache Tomcat-et. Ez a lépés az ESET PROTECT Webkonzolt is eltávolítja.
-
Töltse le az ESET PROTECT On-Prem All-in-one telepítőprogramot. Használja ugyanazt a verziót, mint az ESET PROTECT Server.
-
Futtassa az ESET PROTECT On-Prem All-in-one telepítőprogramot. Válassza a Telepítés lehetőséget, és fogadja el az EULA-t. A Telepítendő összetevők kiválasztása alatt jelölje be az ESET PROTECT Webconsole melletti jelölőnégyzetet, majd kattintson a Tovább gombra. A biztonságos kapcsolat tanúsítványa automatikusan generálódik a telepítés során.
1-1. ábra - Az ESET PROTECT On-Prem teljes telepítése. Ha az ESET PROTECT On-Prem rendszert az ESET PROTECT szervertől eltérő számítógépre telepítette, konfigurálja az ESET PROTECT szerverhez való kapcsolódást.
Meglévő tanúsítvány használata
Az alábbi lépéseket 64 bites Microsoft Windows Server operációs rendszeren kell végrehajtani (64 bites Java és 64 bites Apache Tomcat telepítéssel). Néhány elérési útvonal az Ön által használt operációs rendszertől függően változhat.
- A tanúsítvány .pfx fájlját helyezze át a Tomcat telepítési könyvtárába (a mappa neve változhat – a "Tomcat_folder" helyett a tényleges mappa nevével).
C:\Program Files\Apache Software Foundation\Tomcat_folder -
Nyissa meg a
confmappát a Tomcat telepítési könyvtárában, és keresse meg aServer.xmlfájlt. Szerkessze ezt a fájlt egy szövegszerkesztővel (például Notepad ++). -
Ha nincs
<Connectora után</Engine>a Server.xml állományban (például az Apache Tomcat új telepítésekor), másolja a következő karakterláncot a Server.xml állományba a következő után</Engine>(használja a saját értékeit akeystoreFile,keystorePass, éskeystoreType):
<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?
-
-
Ha
<Connectorjelen van a</Engine>a Server.xml állományban (például amikor az Apache Tomcat frissítése után visszaállítja a Server.xml állományt), helyettesítse az alábbi paraméterek értékeit a saját értékeivel:- keystoreFile- Adja meg a tanúsítványfájl teljes elérési útvonalát (.pfx, .keystore, vagy más). Ha nem JKS-tanúsítványt használ (például egy.pfxfájlt), törölje akeyAlias(alapértelmezés szerint a Server.xml fájlban van jelen), és adjuk hozzá a megfelelőkeystoreType.- keystorePass- Adja meg a tanúsítvány jelszavát.- keystoreType- Adja meg a tanúsítvány típusát.
-
-
Indítsa újra a Tomcat szolgáltatást.
Új tanúsítvány létrehozása és aláírása
Használjon biztonságos HTTPS/SSL-kapcsolatot
az ESET PROTECT On-Prem számára.
-
Hozzon létre egy kulcstárolót SSL-tanúsítvánnyal. A Java-t telepíteni kell.
A Java tartalmazza a keytool (keytool.exe), amely lehetővé teszi a tanúsítvány létrehozását a parancssoron keresztül. Minden egyes Tomcat-példányhoz (ha több Tomcat-példánya van) új tanúsítványt kell létrehoznia, hogy a többi Tomcat-példány biztonságban maradjon, ha az egyik tanúsítvány sérül.
Az alábbiakban egy SSL-tanúsítványt tartalmazó kulcstároló létrehozására szolgáló mintaparancs látható.
Navigáljon a keytool.exe fájl pontos helyére, például C:\Program Files\Java\jre1.8.0_201\bin (a könyvtár az operációs rendszertől és a Java verziójától függ), majd futtassa a parancsot:
keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\"Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
-
Exportálja a tanúsítványt a kulcstárból. Az alábbiakban egy minta parancsot mutatunk be a tanúsítvány aláírási kérésének a kulcstárból történő exportálásához:
keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation"\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT
-
Szerezze be az SSL-tanúsítványt az Ön által választott tanúsítványkiadóval (CA) aláíratva.
A 6. lépéssel folytathatja, ha később tervezi a Root CA importálását. Ha ezt az utat választja, a webböngészője figyelmeztetéseket jeleníthet meg az önaláírt tanúsítványról, és az ESET PROTECT On-Prem rendszerhez HTTPS-en keresztül történő csatlakozáshoz kivételt kell adnia.
-
Importálja a hitelesítésszolgáltató gyökértanúsítványát és közbenső tanúsítványát a kulcstárolóba. A tanúsítványt aláíró szervezet általában elérhetővé teszi ezeket a tanúsítványokat. Erre azért van szükség, mert a tanúsítványválaszt a kulcstárolóból származó megbízható tanúsítványok segítségével érvényesítik.
keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"
-
Miután megkapta a Root CA által aláírt tanúsítványt, importálja a CA nyilvános kulcsát, majd a tanúsítványt (
tomcat.cer) a kulcstárolójába. Az alábbiakban egy mintaparancsot mutatunk be, amely egy aláírt tanúsítványt importál a kulcstárolóba:
keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"
Ha már meglévő tanúsítványt (például céges tanúsítványt) szeretne használni, kövesse az alábbi utasításokat.
-
Szerkessze a
server.xmlkonfigurációs fájlt úgy, hogy a tag<Connectoraz alábbi példához hasonlóan íródjon:
<Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>Ez a módosítás a nem biztonságos Tomcat funkciókat is letiltja, csak a HTTPS marad engedélyezve (scheme= paraméter). Biztonsági okokból szükség lehet arra is, hogy szerkessze a tomcat-users.xml hogy törölje az összes Tomcat felhasználót, és módosítsa a ServerInfo.properties állományt a Tomcat személyazonosságának elrejtése érdekében.
-
Indítsa újra az Apache Tomcat szolgáltatást.