[KB7857] Konfigurera en HTTPS/SSL-anslutning för ESET PROTECT On-Prem (Linux)

OBS:

Den här sidan har översatts av en dator. Klicka på engelska under Språk på den här sidan för att se originaltexten. Om du tycker att något är oklart, kontakta din lokala support.

Problem

Lösning på problemet

Relaterad lösning: Windows-användare

Användare av Rocky Linux Virtual Appliance

Om du är en Rocky Linux Virtual Appliance-användare ska du justera portnumret för anslutningen till 443.

Läs mer om ESET Management Agent med certifikat från Rocky Linux ESET PROTECT Virtual Appliance.

HTTPS

Av säkerhetsskäl rekommenderar vi att du konfigurerar ESET PROTECT On-Prem för att använda HTTPS.

Använd ett befintligt certifikat

Felmeddelandet "Använder okrypterad anslutning! Konfigurera webbservern så att den använder HTTPS" kan visas när du öppnar ESET PROTECT On-Prem via HTTP. Detta inträffar efter installationen av ESET PROTECT On-Prem.

Stegen nedan avser certifikat för Apache Tomcat, som används för att säkerställa säkra HTTPS-anslutningar. Läs mer om ESET PROTECT On-Prem-certifieringar.

  1. Flytta certifikatfilen (t.ex. certificate_file.pfx) till en Tomcat-konfigurationskatalog ( t.ex. /etc/tomcat/).

  2. Öppna filen Server.xml som finns i /etc/tomcat/. Platsen kan variera beroende på Linux-distributionen.

    • Om det inte finns någon <Connector after <Service name="Catalina"> i Server. xml, kopiera följande sträng till Server.xml. Använd dina egna värden för keystoreFile, keystorePass och keystoreType:

      <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                        TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
                        TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256,
                        TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" keystoreFile="/etc/tomcat/certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" />.

    • Om <Connector finns efter <Service name="Catalina"> i Server.xml ska du ersätta värdena för parametrarna nedan med dina egna värden:

      • keystoreFile - Ange den fullständiga sökvägen till certifikatfilen (.pfx, .keystore eller annan). Om du använder ett icke-JKS-certifikat (t.ex. en .pfx-fil ) tar du bort keyAlias (den finns som standard i Server.xml ) och lägger till rätt keystoreType.
      • keystorePass - Ange lösenfras för certifikatet.
      • keystoreType - Ange certifikattyp.

  3. Starta om Tomcat-tjänsten:

    sudo systemctl restart tomcat

    • Om du använder en .keystore-fil ska du använda sökvägen till filen(keystoreFile="/etc/tomcat/tomcat.keystore") och definiera keyAlias(keyAlias="tomcat") istället för keystoreType.

    • Om du vill inaktivera HTTP:

      <!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" />
      SELinux aktiverat

      Användare som har SELinux aktiverat och får en flagga om ogiltigt certifikat kan behöva köra kommandot restorecon för att återställa säkerhetskontexten SELinux:

      restorecon /etc/tomcat/my_cert_file.pfx ls -lZ -rw-r--r--. root root root unconfined_u:object_r:etc_t:s0 /etc/tomcat/my_cert_file.pfx

Skapa ett nytt certifikat och få det signerat

Använd en säker HTTPS/SSL-anslutning för ESET PROTECT On-Prem.

  1. Skapa ett nyckelarkiv med ett SSL-certifikat. Du måste ha Java installerat.

    Apache Tomcat kräver Java:

    • Kontrollera att Java, ESET PROTECT On-Prem och Apache Tomcat har samma bitness.

    • Om du har flera Java-versioner installerade på ditt system rekommenderar vi att du avinstallerar tidigare Java-versioner och bara behåller den senaste Java.

    • Oracle JAVA SE public updates för affärs-, kommersiell eller produktionsanvändning kräver en kommersiell licens. Om du inte köper en JAVA SE-licens kan du använda this guide för att gå över till ett kostnadsfritt alternativ.

    Java innehåller keytool, som gör att du kan skapa ett certifikat via kommandoraden.

    1. Du måste generera ett nytt certifikat för varje Tomcat-instans (om du har flera Tomcat-instanser) för att säkerställa att om ett certifikat äventyras kommer andra Tomcat-instanser att förbli säkra. Nedan följer ett exempel på ett kommando för att skapa en keystore med ett SSL-certifikat.

    2. navigera till den exakta platsen för keytool-filen, till exempel /usr/lib/jvm/"java version"/jre/bin (katalogen beror på operativsystem och Java-version) och kör kommandot:

      sudo keytool -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/etc/tomcat/tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"

      Filsökvägen /etc/tomcat/tomcat.keystore Detta är bara ett exempel; välj din egen säkra och tillgängliga destination.

      -parametrar för storepass och -keypass

      Värdena för -storepass och -keypass måste vara desamma.

  2. Exportera certifikatet från keystore. Nedan följer ett exempel på ett kommando för att exportera begäran om certifikatsignering från keystore:

    sudo keytool -certreq -alias tomcat -file "/etc/tomcat/tomcat.csr" -keystore "/etc/tomcat/tomcat.keystore" -ext san=dns:ESETPROTECT
    Ersätt värden på lämpligt sätt

    • Ersätt värdet "/etc/tomcat/tomcat.csr" för parametern -file med den faktiska sökvägen och filnamnet där du vill att certifikatet ska exporteras.

    • Ersätt värdet ESETPROTECT för parametern -ext med det faktiska värdnamnet på den server där din Apache Tomcat med ESET PROTECT On-Prem körs.

  3. Se till att SSL-certifikatet signeras med den rotcertifikatutfärdare (CA) som du väljer.

    Du kan gå vidare till steg 6 om du planerar att importera en rotcertifikatutfärdare senare. Om du väljer att fortsätta på det här sättet kan din webbläsare visa varningar om ett självsignerat certifikat och du måste lägga till ett undantag för att ansluta till ESET PROTECT On-Prem via HTTPS.

  4. Importera rotcertifikatet och det mellanliggande certifikatet från din certifikatutfärdare till ditt nyckelarkiv. Dessa certifikat görs vanligtvis tillgängliga av den enhet som signerade ditt certifikat. Det är nödvändigt eftersom certifikatsvaret valideras med hjälp av betrodda certifikat från nyckelarkivet.

    sudo keytool -import -alias root -file "/etc/Tomcat/root.crt" -keystore "/etc/tomcat/tomcat.keystore"
    sudo keytool -import -alias intermediate -file "/etc/Tomcat/intermediate.crt.pem" -keystore "/etc/tomcat/tomcat.keystore"

  5. När du har fått det signerade certifikatet med rotcertifikatutfärdaren importerar du certifikatutfärdarens publika nyckel ochcertifikatet (tomcat.cer) till din keystore. Nedan visas ett exempel på ett kommando som importerar ett signerat certifikat till keystore:

    sudo keytool -import -alias tomcat -file "/etc/tomcat/tomcat.cer" -keystore "/etc/tomcat/tomcat.keystore"
    Ersätt värden på lämpligt sätt

    Ersätt värdet /etc/tomcat/tomcat.csr för parametern -file med den faktiska sökvägen och filnamnet för det signerade certifikatet.

    Om du vill använda ett befintligt certifikat (t.ex. ett företagscertifikat) följer du dessa anvisningar.

  6. Redigera konfigurationsfilen server.xml så att taggen <Connector skrivs på liknande sätt som i exemplet nedan:

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/etc/tomcat/tomcat.keystore" keystorePass="yourpassword"/>

    Denna ändring inaktiverar även osäkra Tomcat-funktioner, vilket innebär att endast HTTPS är aktiverat (parameternscheme=). Av säkerhetsskäl kan du också behöva redigera tomcat-users.xml för att ta bort alla Tomcat-användare och ändra ServerInfo.properties för att dölja Tomcats identitet.

  7. Starta om Apache Tomcat-tjänsten. ESET PROTECT On-Prem kan använda tjänstenamnet tomcat9.

    sudo systemctl starta om tomcat
    Säker anslutning misslyckas fortfarande på Linux

    Viktigt innehåll hamnar här.

    Följande felmeddelande kan visas i katalogen /var/....../tomcat: "misslyckades med att initiera slutpunkt associerad med ProtocolHandler ["http-bio-443"]."

    Om problemet kvarstår bör du ändra porten i filen server.xml till ett värde som är högre än 1024, eftersom portar under 1024 kanske inte är tillgängliga för användare som inte är root. Om du av någon anledning måste använda port 443 kan du ändå ändra värdet och sedan vidarebefordra porten.

    Följ stegen nedan för att aktivera portomdirigering (t.ex. från port 443 till port 8443):

    1. Tillåt fjärråtkomst till webbkonsolen:

      sudo iptables -A INPUT -p tcp -m tcp --dport 8443 -j ACCEPT

      Alternativt kan du öppna och redigera konfigurationsfilen för brandväggen(nano /etc/sysconfig/iptables) och lägga till den här raden i avsnittet som börjar med *nat och slutar med COMMIT:

      -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports |8443)

    2. Ta bort port 8080 för att inaktivera HTTP:

      sudo iptables -D INPUT -p tcp -m tcp --dport 8080 -j ACCEPT

    3. Spara brandväggsreglerna:

      iptables-save > /etc/network/iptables.rules

    4. Avaktivera SELinux. Instruktionerna kan skilja sig åt beroende på din Linux-distribution.

Uppdaterades senast: 2026 guov 26

Mer resurser

Användarguider

ESET forum

YouTube-videor
ESET Status Portal ESET Technical Support

Befintlig kund?