[KB7857] HTTPS/SSL savienojuma iestatīšana ESET PROTECT On-Prem (Linux)

PIEZĪME:

Šo lapu ir iztulkojis dators. Lai parādītu oriģināltekstu, šīs lapas sadaļā Valodas noklikšķiniet uz Angļu valoda. Ja jums kaut kas nav skaidrs, lūdzu, sazinieties ar vietējo atbalsta dienestu.

Izdevums

Risinājums

Saistīts risinājums: Windows lietotājiem

Rocky Linux Virtual Appliance lietotāji

Ja esat Rocky Linux Virtual Appliance lietotājs, pielāgojiet savienotāja porta numuru uz 443.

Uzziniet vairāk par ESET pārvaldības aģents ar Rocky Linux ESET PROTECT Virtual Appliance sertifikātu.

HTTPS

Drošības apsvērumu dēļ mēs iesakām iestatīt ESET PROTECT On-Prem, lai izmantotu HTTPS.

Izmantojiet esošo sertifikātu

Tiek parādīts kļūdas paziņojums "Izmantojot nešifrētu savienojumu! Lūdzu, konfigurējiet tīmekļa serveri, lai izmantotu HTTPS" var parādīties, kad piekļūstat ESET PROTECT On-Prem, izmantojot HTTP. Tas notiek pēc ESET PROTECT On-Prem instalēšanas.

Turpmāk minētie soļi attiecas uz Apache Tomcat sertifikātiem, kas tiek izmantoti, lai nodrošinātu drošus HTTPS savienojumus. Uzziniet vairāk par ESET PROTECT On-Prem sertifikāciju.

  1. Pārvietojiet sertifikāta failu (piemēram, certificate_file.pfx) uz Tomcat konfigurācijas direktoriju (piemēram, /etc/tomcat/).

  2. Atveriet Server.xml failu, kas atrodas /etc/tomcat/. Atrašanās vieta var atšķirties atkarībā no Linux izplatīšanas.

    • Ja Server.xml failā nav <Connector pēc <Service name="Catalina">, nokopējiet Server.xml failā šādu virkni. Izmantojiet savas vērtības keystoreFile, keystorePass un keystoreType:

      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                        TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,
                        TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" keystoreFile="/etc/tomcat/certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" />

    • Ja pēc <Service name="Catalina"> servera Server.xml failā ir <Connector, nomainiet turpmāk uzskaitīto parametru vērtības ar savām vērtībām:

      • keystoreFile - norādiet pilnu ceļu līdz sertifikāta datnei (.pfx, .keystore vai citai). Ja izmantojat sertifikātu, kas nav JKS sertifikāts (piemēram, .pfx failu), dzēsiet keyAlias (pēc noklusējuma tas ir Server.xml ) un pievienojiet pareizo keystoreType.
      • keystorePass - Norādiet sertifikāta paroli.
      • keystoreType - norādiet sertifikāta tipu.

  3. Restartējiet Tomcat pakalpojumu:

    sudo systemctl restart tomcat

    • Ja izmantojat .keystore failu, izmantojiet ceļu līdz failam(keystoreFile="/etc/tomcat/tomcat.keystore") un keystoreType vietā norādiet keyAlias(keyAlias="tomcat").

    • Ja vēlaties atspējot HTTP:

      <!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
      Ieslēgts SELinux

      Lietotājiem, kuriem ir ieslēgts SELinux un kuri saņem nederīga sertifikāta karodziņu, var būt nepieciešams palaist komandu restorecon , lai atjaunotu SELinux drošības kontekstu:

      root root unconfined_u:object_r:etc_t:s0 /etc/tomcat/my_cert_file.pfx /etc/tomcat/my_cert_file.pfx ls -lZ -rw-r--r--

Izveidojiet jaunu sertifikātu un saņemiet to parakstītu

Izmantojiet drošu HTTPS/SSL savienojumu ESET PROTECT On-Prem.

  1. Izveidojiet atslēgu krātuvi ar SSL sertifikātu. Jums ir jābūt instalētai Java .

    Apache Tomcat nepieciešama Java:

    • Pārbaudiet, vai Java, ESET PROTECT On-Prem un Apache Tomcat ir vienāds bitness.

    • Ja jūsu sistēmā ir instalētas vairākas Java versijas, mēs iesakām atinstalēt iepriekšējās Java versijas un saglabāt tikai jaunāko Java versiju.

    • Oracle JAVA SE publiskajiem atjauninājumiem uzņēmējdarbības, komerciālai vai ražošanas lietošanai ir nepieciešama komerciāla licence. Ja neesat iegādājies JAVA SE licenci, varat izmantot this guide, lai pārietu uz alternatīvu bez maksas.

    Java ietver keytool, kas ļauj izveidot sertifikātu, izmantojot komandrindas rīku.

    1. Jums ir jārada jauns sertifikāts katrai Tomcat instancei (ja jums ir vairākas Tomcat instances), lai nodrošinātu, ka viena sertifikāta kompromitēšanas gadījumā pārējās Tomcat instances būs drošas. Tālāk ir dota parauga komanda, lai izveidotu atslēgu krātuvi ar SSL sertifikātu.

    2. dodieties uz precīzu keytool faila atrašanās vietu, piemēram, /usr/lib/jvm/"java versija"/jre/bin (direktorija ir atkarīga no operētājsistēmas un Java versijas), un izpildiet komandu:

      sudo keytool -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/etc/tomcat/tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

      Faila ceļš /etc/tomcat/tomcat.keystore Tas ir tikai piemērs; izvēlieties savu drošu un pieejamu galamērķi.

      -storepass un -keypass parametri

      Parametru -storepass un -keypass vērtībām jābūt vienādām.

  2. Eksportējiet sertifikātu no atslēgu krātuves. Tālāk ir dota parauga komanda, lai eksportētu sertifikāta parakstīšanas pieprasījumu no atslēgu glabātavas:

    sudo keytool -certreq -alias tomcat -file "/etc/tomcat/tomcat.csr" -keystore "/etc/tomcat/tomcat.keystore" -ext san=dns:ESETPROTECT
    Atbilstoši aizstāt vērtības

    • Aizstājiet parametra -file vērtību "/etc/tomcat/tomcat.csr" ar faktisko ceļu un faila nosaukumu, kurā vēlaties eksportēt sertifikātu.

    • Aizstājiet parametra -ext vērtību ESETPROTECT ar faktisko tā servera hostvietas nosaukumu, kurā darbojas jūsu Apache Tomcat ar ESET PROTECT On-Prem.

  3. Iegūstiet SSL sertifikātu, kas parakstīts ar jūsu izvēlēto saknes sertifikātu iestādi (CA).

    Jūs varat pāriet pie 6. soļa, ja plānojat importēt saknes CA vēlāk. Ja izvēlaties rīkoties šādā veidā, tīmekļa pārlūkprogramma var parādīt brīdinājumus par pašparakstītu sertifikātu, un jums būs jāpievieno izņēmums, lai izveidotu savienojumu ar ESET PROTECT On-Prem, izmantojot HTTPS.

  4. Importējiet savas CA saknes sertifikātu un starpposma sertifikātu savā atslēgu krātuvē. Šos sertifikātus parasti dara pieejamus iestāde, kas parakstījusi jūsu sertifikātu. Tas ir nepieciešams, jo sertifikāta atbilde tiek apstiprināta, izmantojot uzticamus sertifikātus no atslēgu krātuves.

    sudo keytool -import -alias root -file "/etc/Tomcat/root.crt" -keystore "/etc/tomcat/tomcat.keystore"
    sudo keytool -import -alias intermediate -file "/etc/Tomcat/intermediate.crt.pem" -keystore "/etc/tomcat/tomcat.keystore"

  5. Kad saņemat ar saknes CA parakstītu sertifikātu, importējiet CA publisko atslēgu un sertifikātu(tomcat.cer) savā atslēgu krātuvē. Tālāk ir dota parauga komanda, kas importē parakstītu sertifikātu atslēgu krātuvē:

    sudo keytool -import -alias tomcat -file "/etc/tomcat/tomcat.cer" -keystore "/etc/tomcat/tomcat.keystore"
    Atbilstoši aizstāt vērtības

    Parametra -file vērtību /etc/tomcat/tomcat.csr aizstāt ar parakstītā sertifikāta faktisko ceļu un faila nosaukumu.

    Ja vēlaties izmantot jau esošu sertifikātu (piemēram, uzņēmuma sertifikātu), izpildiet šos norādījumus.

  6. Rediģējiet server.xml konfigurācijas failu tā, lai tagā <Connector būtu ierakstīta līdzīga informācija kā turpmāk sniegtajā piemērā:

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat/tomcat.keystore" keystorePass="yourpassword"/>

    Ar šo modifikāciju tiek atspējotas arī nedrošās Tomcat funkcijas, atstājot iespējotu tikai HTTPS (parametrsscheme= ). Drošības apsvērumu dēļ var būt nepieciešams arī rediģēt tomcat-users.xml, lai dzēstu visus Tomcat lietotājus un mainītu ServerInfo.properties, lai paslēptu Tomcat identitāti.

  7. Restartējiet Apache Tomcat pakalpojumu. ESET PROTECT On-Prem var izmantot pakalpojuma nosaukumu tomcat9.

    sudo systemctl restart tomcat
    Drošs savienojums joprojām neizdodas Linux operētājsistēmā

    Svarīgs saturs ir šeit.

    Katalogā /var/....../tomcat var parādīties šāds kļūdas paziņojums: "neizdevās inicializēt gala punktu, kas saistīts ar ProtocolHandler ["http-bio-443"]"

    Ja problēma saglabājas, server.xml failā nomainiet portu uz lielāku vērtību nekā 1024, jo portiem, kas ir mazāki par 1024, lietotāji, kas nav root lietotāji, var nebūt pieejami. Ja kāda iemesla dēļ jums ir jāizmanto 443 ports, jūs joprojām varat mainīt vērtību un pēc tam pāradresēt portu.

    Lai iespējotu porta pāradresāciju (piemēram, no 443 porta uz 8443 portu), izpildiet tālāk aprakstītās darbības:

    1. Atļaujiet attālinātu piekļuvi tīmekļa konsolei:

      iptables: sudo iptables -A INPUT -p tcp -m tcp -dport 8443 -j ACCEPT

      Varat arī atvērt un rediģēt ugunsmūra konfigurācijas failu(nano /etc/sysconfig/iptables) un pievienot šo rindu iedaļā, kas sākas ar *nat un beidzas ar COMMIT:

      -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports |8443)

    2. Noņemiet 8080 portu, lai atspējotu HTTP:

      sudo iptables -D INPUT -p tcp -m tcp --dport 8080 -j ACCEPT

    3. Saglabājiet ugunsmūra noteikumus:

      iptables-save > /etc/network/iptables.rules

    4. Izslēdziet SELinux. Sniegtie norādījumi var atšķirties atkarībā no jūsu Linux izplatīšanas.

Pēdējoreiz atjaunināts: 2026. gada 13. apr.

Papildu resursi

Lietotāja rokasgrāmatas

ESET forums

YouTube videoklipi
ESET Status Portal ESET Technical Support

Esošais klients?