[KB7856] Configurazione di una connessione HTTPS/SSL per ESET PROTECT On-Prem (Windows)

NOTA:

Questa pagina è stata tradotta da un computer. Fai clic su English sotto Languages in questa pagina per visualizzare il testo originale. Se trovi qualcosa di poco chiaro, contatta il tuo supporto locale.

Problema

Dettagli


Fare clic per espandere

ESET PROTECT On-Prem Web Console installato manualmente utilizza HTTP per impostazione predefinita. Per motivi di sicurezza, si consiglia di configurare ESET PROTECT On-Prem in modo che utilizzi HTTPS.

Per utilizzare HTTPS, è possibile reinstallare ESET PROTECT On-Prem Web Console utilizzando il programma di installazione All-in-one o configurare Apache Tomcat per utilizzare una connessione HTTPS.


Soluzione

Soluzione correlata: Utenti Linux

Reinstallare ESET PROTECT On-Prem Web Console utilizzando il programma di installazione All-in-one e utilizzare un certificato generato automaticamente

Reinstallare ESET PROTECT On-Prem Web Console utilizzando il programma di installazione All-in-one per generare automaticamente il certificato di connessione sicura (HTTPS).

  1. Assicurarsi che Apache Tomcat sia utilizzato solo da ESET PROTECT On-Prem Web Console.

  2. Disinstallare Apache Tomcat. Questa operazione disinstallerà anche ESET PROTECT On-Prem Web Console.

  3. Scaricare il programma di installazione di ESET PROTECT On-Prem All-in-one. Utilizzare la stessa versione del server ESET PROTECT On-Prem. Controllare la versione di ESET PROTECT On-Prem e dei relativi componenti.

  4. Eseguire il programma di installazione di ESET PROTECT On-Prem All-in-one. Scegliere la lingua e fare clic su Avanti.

  5. Selezionare Installa e fare clic su Avanti.

  6. Leggere le Condizioni d'uso, selezionare la casella di controllo accanto a Accetto le Condizioni d'uso e fare clic su Avanti.

  7. Selezionare la casella di controllo accanto a ESET PROTECT Webconsole e fare clic su Avanti.

  8. Selezionare l'installazione di Java e fare clic su Installa.

  9. Il certificato HTTPS viene generato automaticamente durante l'installazione. Dopo l'installazione, è possibile accedere alla Console Web di ESET PROTECT On-Prem utilizzando la connessione sicura. Fare clic su Fine.


Reinstallare ESET PROTECT On-Prem Web Console utilizzando il programma di installazione All-in-one e utilizzare un certificato personalizzato

Reinstallare ESET PROTECT On-Prem Web Console utilizzando il programma di installazione All-in-one e aggiungere un certificato HTTPS personalizzato.

  1. Assicurarsi che Apache Tomcat sia utilizzato solo da ESET PROTECT On-Prem Web Console.

  2. Disinstallare Apache Tomcat. Questa operazione disinstallerà anche ESET PROTECT On-Prem Web Console.

  3. Scaricare il programma di installazione di ESET PROTECT On-Prem All-in-one. Utilizzare la stessa versione del server ESET PROTECT On-Prem. Controllare la versione di ESET PROTECT On-Prem e dei relativi componenti.

  4. Eseguire il programma di installazione di ESET PROTECT On-Prem All-in-one. Scegliere la lingua e fare clic su Avanti.

  5. Selezionare Installa e fare clic su Avanti.

  6. Leggere le Condizioni d'uso, selezionare la casella di controllo accanto a Accetto le Condizioni d'uso e fare clic su Avanti.

  7. Selezionare la casella di controllo accanto a ESET PROTECT Webconsole e Aggiungi certificato HTTPS personalizzato per Webconsole, quindi fare clic su Avanti.

  8. Fare clic su Sfoglia, individuare e selezionare il certificato personalizzato, digitare la passphrase e fare clic su Avanti.

    Requisiti del certificato

    I seguenti requisiti per un certificato HTTPS personalizzato devono essere soddisfatti:

    • File corretto (.pfx, .p12) selezionato
    • Passphrase corretta inserita
    • Il certificato ha una chiave privata
    • Il certificato è valido

  9. Selezionare l'installazione di Java e fare clic su Installa.

  10. Il certificato personalizzato verrà utilizzato durante l'installazione. Dopo l'installazione, è possibile accedere alla Console Web di ESET PROTECT On-Prem utilizzando la connessione protetta. Fare clic su Fine.


Generazione di un nuovo certificato e configurazione della connessione HTTPS per ESET PROTECT On-Prem Web Console

Generare un nuovo certificato tramite il keystore Java e configurare la connessione HTTPS in Apache Tomcat per ESET PROTECT On-Prem Web Console.

Console Web ESET PROTECT On-Prem

Seguire le istruzioni riportate di seguito se ESET PROTECT On-Prem Web Console è già installato.

  1. Creare un keystore con un certificato SSL.

    Java include keytool.exe, che consente di creare un certificato tramite la riga di comando. È necessario generare un nuovo certificato per ogni istanza Tomcat (se si dispone di più istanze Tomcat) per garantire che le altre istanze Tomcat rimangano sicure se un certificato viene compromesso.

    Navigare fino alla posizione esatta del file keytool.exe. Il percorso dipende dal sistema operativo e dalla versione di Java; vedere l'esempio seguente:

    C:\Program Files\Java\jre1.8.0_201\bin
  2. Aprite la riga di comando/il terminale nel percorso di keytool.exe.

  3. Modificare ed eseguire il seguente comando. Modificare i parametri -keystore, -storepass e -keypass in base al proprio ambiente.

    keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Sconosciuto, OU=Sconosciuto, O=Sconosciuto, L=Sconosciuto, ST=Sconosciuto, C=Sconosciuto"
    -parametri storepass e -keypass

    I valori di -storepass e -keypass devono essere uguali.

  4. Modificare ed eseguire il seguente comando. Modificare i parametri -file e -ext per esportare la richiesta di firma del certificato dal keystore.

    keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT
    -parametri file e -ext

    Sostituire il valore "C:\Install\Tomcat\tomcat.csr" per il parametro -file con il percorso e il nome del file effettivi in cui verrà esportato il certificato.

    Sostituire il valore ESETPROTECT per il parametro -ext con il nome host effettivo del server su cui è in esecuzione Apache Tomcat con ESET PROTECT On-Prem.

  5. Ottenere il certificato SSL firmato dalla Root Certificate Authority (CA) di propria scelta.

    È possibile passare al punto 8 se si prevede di importare un'autorità di certificazione radice in un secondo momento. Se si sceglie di procedere in questo modo, il browser Web potrebbe visualizzare avvisi relativi a un certificato autofirmato e sarà necessario aggiungere un'eccezione per connettersi a ESET PROTECT On-Prem Web Console tramite HTTPS.

  6. Importare il certificato radice e il certificato intermedio della CA nel keystore. L'ente che ha firmato il certificato di solito rende disponibili questi certificati. È necessario perché la risposta del certificato viene convalidata utilizzando i certificati affidabili del keystore.

    Modificare ed eseguire i seguenti comandi. Modificare i parametri -keystore e -file in base al proprio ambiente.

    keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"
    keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"
  7. Quando si riceve il certificato firmato con la CA radice, importare la chiave pubblica della CA e quindi il certificato tomcat.cer nel keystore.

    Modificare ed eseguire il seguente comando. Modificare i parametri -file e -keystore.

    keytool.exe -import -alias tomcat -file "C:\Installare\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"
  8. Navigare nella cartella di configurazione di Apache Tomcat. Il percorso dipende dal sistema operativo e dalla versione di Apache Tomcat; vedere l'esempio seguente:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf
  9. Aprire il file server.xml con un editor di testo (ad esempio, Notepad) e aggiungere il seguente codice dopo il tag </Engine> (se è già presente il tag <Connector, modificare il codice come nell'esempio seguente).

    Modificare i parametri keystoreFile e keystorePass in base al proprio ambiente.

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>.
    Configurazione di Apache Tomcat

    Questa modifica disabilita anche le funzioni non sicure di Tomcat, lasciando abilitato solo HTTPS( parametroscheme ). Per motivi di sicurezza, potrebbe essere necessario modificare tomcat-users.xml per eliminare tutti gli utenti di Apache Tomcat e modificare ServerInfo.properties per nascondere l'identità di Apache Tomcat. Per ulteriori informazioni, consultare la documentazione di Apache Tomcat.

  10. Premere il tasto Windows + R, digitare services.msc e fare clic su OK.

  11. Fare clic con il tasto destro del mouse sul servizio Apache Tomcat 9.0 e selezionare Riavvia dal menu contestuale.


Configurazione della connessione HTTPS per ESET PROTECT On-Prem Web Console utilizzando un certificato personalizzato

Certificati di ESET PROTECT On-Prem

I passaggi seguenti si riferiscono ai certificati per Apache Tomcat, utilizzati per garantire connessioni HTTPS sicure. Per informazioni sui certificati di ESET PROTECT On-Prem, consultare la Guida in linea di ESET PROTECT On-Prem.

Configurare la connessione HTTPS in Apache Tomcat per ESET PROTECT On-Prem Web Console utilizzando un certificato personalizzato.

  1. Spostare il file certificate.pfx nella cartella di installazione di Apache Tomcat. Il percorso dipende dal sistema operativo e dalla versione di Apache Tomcat, vedere l'esempio seguente:
    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\
    Utilizzare sempre .pfx con una password

    Il certificato .pfx deve avere una password.

  2. Navigare nella cartella di configurazione di Apache Tomcat. Il percorso dipende dal sistema operativo e dalla versione di Apache Tomcat; vedere l'esempio seguente:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf\
  3. Aprire il file server.xml con un editor di testo (ad esempio, Notepad).

    1. Se non c'è il tag <Connector> dopo il tag </Engine> (ad esempio, quando si esegue una nuova installazione di Apache Tomcat), copiare la seguente stringa nel file Server.xml dopo il tag </Engine>.

      Modificare i parametri keystoreFile, keystorePass e keystoreTag in base al proprio ambiente.

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?
    2. Se il tag <Connector è presente dopo il tag</Engine> (ad esempio, quando si ripristina il file server.xml dopo un aggiornamento di Apache Tomcat), sostituire i valori dei parametri elencati di seguito con i propri valori.

      • keystoreFile: fornire il percorso completo del file del certificato (.pfx, .keystore o altro). Se si utilizza un certificato non JKS (ad esempio, un file .pfx), eliminare il keyAlias (è presente in Server.xml per impostazione predefinita) e aggiungere il keystoreType corretto.
      • keystorePass: fornire la passphrase del certificato.
      • keystoreType-Specifica il tipo di certificato.
      Documentazione di Apache Tomcat

      Per ulteriori informazioni su HTTP Connector, consultare la documentazione di Apache Tomcat.

  4. Premere il tasto Windows + R, digitare services.msc e fare clic su OK.

  5. Fare clic con il tasto destro del mouse sul servizio Apache Tomcat 9.0 e selezionare Riavvia dal menu contestuale.