[KB7856] Een HTTPS/SSL-verbinding instellen voor ESET PROTECT On-Prem (Windows)

Probleem

• U ontvangt de waarschuwing "Gebruikt niet-versleutelde verbinding! Gelieve de webserver te configureren om HTTPS te gebruiken" wanneer u ESET PROTECT On-Prem Web Console opent
• Installeer ESET PROTECT On-Prem Web Console opnieuw met het Alles-in-één installatieprogramma en gebruik een automatisch gegenereerd certificaat
• Installeer ESET PROTECT On-Prem Web Console opnieuw met het Alles-in-één installatieprogramma en gebruik een aangepast certificaat
• Genereer een nieuw certificaat en configureer HTTPS-verbinding voor ESET PROTECT On-Prem Web Console
• HTTPS-verbinding configureren voor ESET PROTECT On-Prem Web Console met een aangepast certificaat

Details

Oplossing

Verwante oplossing: Linux gebruikers

Installeer ESET PROTECT On-Prem Web Console opnieuw met het Alles-in-één installatieprogramma en gebruik een automatisch gegenereerd certificaat

Installeer ESET PROTECT On-Prem Web Console opnieuw met behulp van het Alles-in-één installatieprogramma om het certificaat voor de beveiligde verbinding (HTTPS) automatisch te genereren.

1. Zorg ervoor dat Apache Tomcat alleen wordt gebruikt door ESET PROTECT On-Prem Web Console.

2. Verwijder Apache Tomcat. Dit zal ook de ESET PROTECT On-Prem Web Console verwijderen.

3. Download het ESET PROTECT On-Prem Alles-in-één installatieprogramma. Gebruik dezelfde versie als uw ESET PROTECT On-Prem Server. Controleer de versie van ESET PROTECT On-Prem en gerelateerde componenten.

4. Voer het ESET PROTECT On-Prem alles-in-één installatieprogramma uit. Kies uw taal en klik op Volgende.

   

5. Selecteer Installeren en klik op Volgende.

   

6. Lees de gebruiksvoorwaarden, schakel het selectievakje naast Ik accepteer de gebruiksvoorwaarden in en klik op Volgende.

   

7. Schakel het selectievakje naast ESET PROTECT Webconsole in en klik op Volgende.

   

8. Selecteer uw Java-installatie en klik op Installeren.

   

9. Het HTTPS-certificaat wordt automatisch gegenereerd tijdens de installatie. Na een succesvolle installatie heeft u toegang tot de ESET PROTECT On-Prem Webconsole via de beveiligde verbinding. Klik op Voltooien.

   

Installeer ESET PROTECT On-Prem Web Console opnieuw met het Alles-in-één installatieprogramma en gebruik een aangepast certificaat

Installeer ESET PROTECT On-Prem Web Console opnieuw met het Alles-in-één installatieprogramma en voeg een aangepast HTTPS-certificaat toe.

1. Zorg ervoor dat Apache Tomcat alleen wordt gebruikt door ESET PROTECT On-Prem Web Console.

2. Verwijder Apache Tomcat. Dit zal ook de ESET PROTECT On-Prem Web Console verwijderen.

3. Download het ESET PROTECT On-Prem Alles-in-één installatieprogramma. Gebruik dezelfde versie als uw ESET PROTECT On-Prem Server. Controleer de versie van ESET PROTECT On-Prem en gerelateerde componenten.

4. Voer het ESET PROTECT On-Prem alles-in-één installatieprogramma uit. Kies uw taal en klik op Volgende.

   

5. Selecteer Installeren en klik op Volgende.

   

6. Lees de gebruiksvoorwaarden, schakel het selectievakje naast Ik accepteer de gebruiksvoorwaarden in en klik op Volgende.

   

7. Schakel het selectievakje naast ESET PROTECT Webconsole en Aangepast HTTPS-certificaat voor Webconsole toevoegen in en klik op Volgende.

   

8. Klik op Bladeren, navigeer naar en selecteer uw aangepaste certificaat, typ de wachtwoordzin in en klik op Volgende.

   Vereisten voor het certificaat

   Aan de volgende eisen voor een aangepast HTTPS-certificaat moet worden voldaan:

   • Correct bestand (.pfx, .p12) geselecteerd
   • Juiste wachtwoordzin ingevoerd
   • Certificaat heeft privésleutel
   • Certificaat is geldig
     
     

   

9. Selecteer je Java-installatie en klik op Installeren.

   

10. Het aangepaste certificaat wordt gebruikt tijdens de installatie. Na een succesvolle installatie heeft u toegang tot de ESET PROTECT On-Prem Web Console via de beveiligde verbinding. Klik op Voltooien.

    

Een nieuw certificaat aanmaken en HTTPS-verbinding configureren voor ESET PROTECT On-Prem Web Console

Genereer een nieuw certificaat via Java keystore en configureer HTTPS-verbinding in Apache Tomcat voor ESET PROTECT On-Prem Web Console.

1. Maak een sleutelbewaarplaats met een SSL-certificaat.

   Java bevat keytool.exe, waarmee u een certificaat kunt aanmaken via de opdrachtregel. Je moet een nieuw certificaat aanmaken voor elke Tomcat-instantie (als je meerdere Tomcat-instanties hebt) om ervoor te zorgen dat andere Tomcat-instanties veilig blijven als één certificaat wordt gecompromitteerd.

   Navigeer naar de exacte locatie van het keytool.exe bestand. Het pad hangt af van het besturingssysteem en de Java-versie, zie het onderstaande voorbeeld:

   C:\Program Files\Java\jre1.8.0_201\bin

2. Open de opdrachtregel / terminal op de locatie van keytool.exe.

3. Bewerk het volgende commando en voer het uit. Pas de parameters -keystore, -storepass en -keypass aan op basis van uw omgeving.

   keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keygrootte 4096 -validiteit 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

   -storepass en -keypass parameters

   De waarden voor -storepass en -keypass moeten hetzelfde zijn.

4. Bewerk het volgende commando en voer het uit. Bewerk de parameters -file en -ext om het ondertekeningsverzoek van het certificaat uit de sleutelbewaarplaats te exporteren.

   keytool.exe -certreq -alias tomcat -bestand "C:\InstallatieTomcat{tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation{Tomcat_folder{tomcat.keystore" -ext san=dns:ESETPROTECT

   -bestand en -ext parameters

   Vervang de waarde "C:¦Installatie \Tomcat.csr" voor de -bestand parameter door het daadwerkelijke pad en de bestandsnaam waar het certificaat geëxporteerd zal worden.

   Vervang de waarde ESETPROTECT voor de -ext parameter door de werkelijke hostnaam van de server waarop uw Apache Tomcat met ESET PROTECT On-Prem draait.

5. Laat het SSL-certificaat ondertekenen bij de Root Certificate Authority (CA) van uw keuze.

   U kunt doorgaan naar stap 8 als u van plan bent om later een Root Certificate Authority te importeren. Als u ervoor kiest om op deze manier verder te gaan, kan uw webbrowser waarschuwingen weergeven over een zelfondertekend certificaat en moet u een uitzondering toevoegen om verbinding te maken met ESET PROTECT On-Prem Web Console via HTTPS.

6. Importeer het hoofdcertificaat en tussencertificaat van uw CA naar uw sleutelbewaarplaats. De entiteit die uw certificaat heeft ondertekend maakt deze certificaten meestal beschikbaar. Dit is nodig omdat het certificaatantwoord wordt gevalideerd met behulp van vertrouwde certificaten uit de keystore.

   Bewerk de volgende commando's en voer ze uit. Pas de parameters -keystore en -file aan op basis van je omgeving.

   keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software FoundationTomcat_folder\tomcat.keystore" -trustcacerts -bestand "C:\root.crt"

   keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software FoundationTomcat_folder\tomcat.keystore" -trustcacerts -bestand "C:\intermediate.crt.pem"

7. Wanneer je het ondertekende certificaat met de root-CA ontvangt, importeer dan de publieke sleutel van de CA en vervolgens het certificaat tomcat.cer in je sleutelbewaarplaats.

   Bewerk het volgende commando en voer het uit. Bewerk de parameters -file en -keystore.

   keytool.exe -import -alias tomcat -bestand "C:\InstallatieTomcat{tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation{Tomcat_folder{tomcat.keystore"

8. Navigeer naar de configuratiemap van Apache Tomcat. Het pad hangt af van het OS en de Apache Tomcat versie, zie het voorbeeld hieronder:

   C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf

9. Open het bestand server.xml met een teksteditor (bijvoorbeeld Notepad) en voeg de volgende code toe na de tag </Engine> (als er al een tag <Connector> aanwezig is, wijzig de code dan in het onderstaande voorbeeld).

   Bewerk de parameters keystoreFile en keystorePass op basis van je omgeving.

   <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>

   Apache Tomcat configuratie

   Deze wijziging schakelt ook de niet-veilige functies van Tomcat uit, zodat alleen HTTPS is ingeschakeld(scheme parameter). Om veiligheidsredenen moet je misschien ook tomcat-users.xml bewerken om alle Apache Tomcat gebruikers te verwijderen en ServerInfo.properties wijzigen om de identiteit van de Apache Tomcat te verbergen. Raadpleeg de documentatie van Apache Tomcat voor meer informatie.

10. Druk op de Windows-toets + R, typ services.msc en klik op OK.

    

11. Klik met de rechtermuisknop op de Apache Tomcat 9.0-service en selecteer Herstarten in het contextmenu.

    

HTTPS-verbinding configureren voor ESET PROTECT On-Prem Web Console met een aangepast certificaat

Configureer HTTPS-verbinding in Apache Tomcat voor ESET PROTECT On-Prem Web Console met behulp van een aangepast certificaat.

1. Verplaats het certificate.pfx bestand naar de Apache Tomcat installatiemap. Het pad hangt af van het OS en de Apache Tomcat versie, zie het voorbeeld hieronder:

   C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112

   Gebruik altijd .pfx met een wachtwoord

   Het .pfx-certificaat moet een wachtwoord hebben.

2. Navigeer naar de configuratiemap van Apache Tomcat. Het pad is afhankelijk van het OS en de Apache Tomcat versie, zie onderstaand voorbeeld:

   C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf

3. Open het bestand server.xml met een tekstverwerker (bijvoorbeeld Kladblok).

   1. Als er geen <Connector-tag staat na de </Engine>-tag (bijvoorbeeld wanneer je een nieuwe installatie van Apache Tomcat uitvoert), kopieer dan de volgende string naar Server.xml na de </Engine>-tag.

      Bewerk de parameters keystoreFile, keystorePass en keystoreTag op basis van je omgeving.

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?

   2. Als de tag <Connector aanwezig is na de tag</Engine> (bijvoorbeeld wanneer u het bestand server.xml herstelt na een upgrade van Apache Tomcat), vervangt u de waarden van de onderstaande parameters door uw eigen waarden.

      • keystoreFile - Geef het volledige pad naar het certificaatbestand (.pfx, .keystore of een ander). Als je een niet-JKS certificaat gebruikt (bijvoorbeeld een .pfx bestand), verwijder dan de keyAlias (deze staat standaard in Server.xml) en voeg het juiste keystoreType toe.
      • keystorePass-Bepaal de wachtwoordzin van het certificaat.
      • keystoreType-Specificeer het certificaattype.

      Apache Tomcat documentatie

      Raadpleeg de documentatie van Apache Tomcat voor meer informatie over de HTTP Connector.

4. Druk op de Windows-toets + R, typ services.msc en klik op OK.

   

5. Klik met de rechtermuisknop op de Apache Tomcat 9.0-service en selecteer Herstarten in het contextmenu.