[KB7857] Konfigurer en HTTPS/SSL-tilkobling for ESET PROTECT On-Prem (Linux)

MERK:

Denne siden er oversatt av en datamaskin. Klikk på engelsk under Språk på denne siden for å se originalteksten. Hvis noe er uklart, kan du kontakte din lokale kundestøtte.

Problem

Løsning

Relatert løsning: Windows-brukere

Brukere av Rocky Linux Virtual Appliance

Hvis du bruker Rocky Linux Virtual Appliance, må du justere portnummeret til kontakten til 443.

Les mer om ESET Management Agent med sertifikat fra Rocky Linux ESET PROTECT Virtual Appliance.

HTTPS

Av sikkerhetsmessige årsaker anbefaler vi at du konfigurerer ESET PROTECT On-Prem til å bruke HTTPS.

Bruk et eksisterende sertifikat

Feilmeldingen "Bruker ukryptert tilkobling! Vennligst konfigurer webserveren til å bruke HTTPS" kan vises når du går inn på ESET PROTECT On-Prem via HTTP. Dette skjer etter installasjonen av ESET PROTECT On-Prem.

Trinnene nedenfor refererer til sertifikater for Apache Tomcat, som brukes for å sikre sikre HTTPS-tilkoblinger. Les mer om ESET PROTECT On-Prem-sertifiseringer.

  1. Flytt sertifikatfilen (for eksempel certificate_file.pfx) til en Tomcat-konfigurasjonskatalog (for eksempel /etc/tomcat/).

  2. Åpne Server.xml-filen som ligger i /etc/tomcat/. Plasseringen kan variere avhengig av Linux-distribusjonen.

    • Hvis det ikke finnes noen <Connector after <Service name="Catalina"> i Server. xml, kopierer du følgende streng inn i Server.xml. Bruk dine egne verdier for keystoreFile, keystorePass og keystoreType:

      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                        TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,
                        TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" keystoreFile="/etc/tomcat/certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" />.

    • Hvis <Connector er til stede etter <Service name="Catalina"> i Server.xml, erstatter du verdiene for parameterne som er oppført nedenfor med dine verdier:

      • keystoreFile - Oppgi den fullstendige banen til sertifikatfilen (.pfx, .keystore eller annet). Hvis du bruker et sertifikat som ikke er JKS-sertifikat (for eksempel en .pfx-fil ), sletter du keyAlias (den finnes som standard i Server.xml ) og legger til riktig keystoreType.
      • keystorePass - Angi passordfrasen for sertifikatet.
      • keystoreType - Angi sertifikattypen.

  3. Start Tomcat-tjenesten på nytt:

    sudo systemctl restart tomcat

    • Hvis du bruker en .keystore-fil, bruker du banen til filen(keystoreFile="/etc/tomcat/tomcat.keystore") og definerer keyAlias(keyAlias="tomcat") i stedet for keystoreType.

    • Hvis du vil deaktivere HTTP:

      <!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />.
      SELinux aktivert

      Brukere som har SELinux aktivert og mottar et ugyldig sertifikatflagg, må kanskje kjøre restorecon-kommandoen for å gjenopprette SELinux-sikkerhetskonteksten:

      restorecon /etc/tomcat/my_cert_file.pfx ls -lZ -rw-r--r--. root root unconfined_u:object_r:etc_t:s0 /etc/tomcat/my_cert_file.pfx

Opprett et nytt sertifikat og få det signert

Bruk en sikker HTTPS/SSL-tilkobling for ESET PROTECT On-Prem.

  1. Opprett et keystore med et SSL-sertifikat. Du må ha Java installert.

    Apache Tomcat krever Java:

    • Kontroller at Java, ESET PROTECT On-Prem og Apache Tomcat har samme bitness.

    • Hvis du har flere Java-versjoner installert på systemet ditt, anbefaler vi at du avinstallerer tidligere Java-versjoner og bare beholder den nyeste Java-versjonen.

    • Oracle JAVA SE offentlige oppdateringer for forretnings-, kommersiell eller produksjonsbruk krever en kommersiell lisens. Hvis du ikke kjøper en JAVA SE-lisens, kan du bruke this guide for å gå over til et kostnadsfritt alternativ.

    Java inkluderer keytool, som gjør det mulig å opprette et sertifikat via kommandolinjen.

    1. Du må generere et nytt sertifikat for hver Tomcat-instans (hvis du har flere Tomcat-instanser) for å sikre at hvis ett sertifikat blir kompromittert, vil de andre Tomcat-instansene forbli sikre. Nedenfor er et eksempel på en kommando for å opprette et keystore med et SSL-sertifikat.

    2. naviger til den nøyaktige plasseringen av keytool-filen, for eksempel /usr/lib/jvm/"java version"/jre/bin (katalogen avhenger av operativsystem og Java-versjon), og kjør kommandoen:

      sudo keytool -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/etc/tomcat/tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

      Filbanen /etc/tomcat/tomcat.keystore Dette er kun et eksempel; velg din egen sikre og tilgjengelige destinasjon.

      -storepass- og -keypass-parametere

      Verdiene for -storepass og -keypass må være de samme.

  2. Eksporter sertifikatet fra keystore. Nedenfor er et eksempel på en kommando for å eksportere sertifikatsigneringsforespørselen fra keystore:

    sudo keytool -certreq -alias tomcat -file "/etc/tomcat/tomcat.csr" -keystore "/etc/tomcat/tomcat.keystore" -ext san=dns:ESETPROTECT
    Erstatt verdiene på riktig måte

    • Erstatt verdien "/etc/tomcat/tomcat/tomcat.csr" for -file-parameteren med den faktiske banen og filnavnet der du vil at sertifikatet skal eksporteres.

    • Erstatt verdien ESETPROTECT for -ext-parameteren med det faktiske vertsnavnet til serveren som Apache Tomcat med ESET PROTECT On-Prem kjører på.

  3. Få SSL-sertifikatet signert med rotsertifikatutstederen (CA) du velger.

    Du kan gå videre til trinn 6 hvis du planlegger å importere en rotsertifikatutsteder senere. Hvis du velger å fortsette på denne måten, kan det hende at nettleseren din viser advarsler om et selvsignert sertifikat, og du må legge til et unntak for å koble til ESET PROTECT On-Prem via HTTPS.

  4. Importer rotsertifikatet og det mellomliggende sertifikatet fra sertifiseringsinstansen til nøkkellageret ditt. Disse sertifikatene gjøres vanligvis tilgjengelige av enheten som signerte sertifikatet ditt. Det er nødvendig fordi sertifikatsvaret valideres ved hjelp av klarerte sertifikater fra keystore.

    sudo keytool -import -alias root -file "/etc/Tomcat/root.crt" -keystore "/etc/tomcat/tomcat.keystore"
    sudo keytool -import -alias intermediate -file "/etc/Tomcat/intermediate.crt.pem" -keystore "/etc/tomcat/tomcat.keystore"

  5. Når du mottar det signerte sertifikatet med rotsertifiseringsinstansen, importerer du den offentlige nøkkelen til sertifiseringsinstansen og sertifikatet(tomcat.cer) inn i keystore. Nedenfor er et eksempel på en kommando som importerer et signert sertifikat til keystore:

    sudo keytool -import -alias tomcat -file "/etc/tomcat/tomcat.cer" -keystore "/etc/tomcat/tomcat.keystore"
    Erstatt verdiene på riktig måte

    Erstatt verdien /etc/tomcat/tomcat.csr for -file-parameteren med den faktiske banen og filnavnet til det signerte sertifikatet.

    Hvis du vil bruke et eksisterende sertifikat (for eksempel et firmasertifikat), følger du disse instruksjonene.

  6. Rediger konfigurasjonsfilen server.xml slik at taggen <Connector skrives på samme måte som i eksempelet nedenfor:

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat/tomcat.keystore" keystorePass="yourpassword"/>.

    Denne modifikasjonen deaktiverer også ikke-sikre Tomcat-funksjoner, slik at bare HTTPS er aktivert(scheme=-parameter). Av sikkerhetsgrunner må du kanskje også redigere tomcat-users.xml for å slette alle Tomcat-brukere og endre ServerInfo.properties for å skjule identiteten til Tomcat.

  7. Start Apache Tomcat-tjenesten på nytt. ESET PROTECT On-Prem kan bruke tjenestenavnet tomcat9.

    sudo systemctl restart tomcat
    Sikker tilkobling mislykkes fortsatt på Linux

    Viktig innhold kommer her.

    Følgende feilmelding kan vises i katalogen /var/....../tomcat: "klarte ikke å initialisere endepunkt tilknyttet ProtocolHandler ["http-bio-443"]."

    Hvis problemet vedvarer, må du endre porten i server.xml-filen til en verdi som er høyere enn 1024, fordi porter under 1024 kanskje ikke er tilgjengelige for brukere som ikke er root. Hvis du av en eller annen grunn må bruke port 443, kan du likevel endre verdien og deretter videresende porten.

    Følg trinnene nedenfor for å aktivere omdirigering av porter (for eksempel fra port 443 til port 8443):

    1. Tillat ekstern tilgang til nettkonsollen:

      sudo iptables -A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT

      Alternativt kan du åpne og redigere brannmurkonfigurasjonsfilen(nano /etc/sysconfig/iptables) og legge til denne linjen i avsnittet som starter med *nat og slutter med COMMIT:

      -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports |8443)

    2. Fjern port 8080 for å deaktivere HTTP:

      sudo iptables -D INPUT -p tcp -m tcp --dport 8080 -j ACCEPT

    3. Lagre brannmurreglene:

      iptables-save > /etc/network/iptables.rules

    4. Deaktiver SELinux. Instruksjonene kan variere avhengig av Linux-distribusjonen din.

Sist oppdatert: 26. feb. 2026

Tilleggsressurser

Brukerveiledninger

ESET Forum

YouTube-videoer
ESET Status Portal ESET Technical Support

Eksisterende kunde?