[KB7856] Налаштування HTTPS/SSL-з'єднання для ESET PROTECT On-Prem (Windows)

ПРИМІТКА:

Ця сторінка перекладена за допомогою комп'ютера. Клацніть англійську мову в розділі Мови на цій сторінці, щоб переглянути оригінальний текст. Якщо вам щось незрозуміло, зверніться до місцевої служби підтримки.

Проблема

Деталі


Натисніть, щоб розгорнути

Веб-консоль ESET PROTECT On-Prem Web Console, встановлена вручну, за замовчуванням використовує протокол HTTP. З міркувань безпеки рекомендуємо налаштувати ESET PROTECT On-Prem на використання HTTPS.

Щоб використовувати HTTPS, ви можете переінсталювати веб-консоль ESET PROTECT On-Prem за допомогою універсального інсталятора або налаштувати Apache Tomcat на використання HTTPS-з'єднання.


Рішення

Відповідне рішення: Користувачі Linux

Переінсталюйте ESET PROTECT On-Prem Web Console за допомогою універсального інсталятора та скористайтеся автоматично згенерованим сертифікатом

Переінсталюйте веб-консоль ESET PROTECT On-Prem за допомогою інсталятора "Все в одному", щоб автоматично згенерувати сертифікат захищеного з'єднання (HTTPS).

  1. Переконайтеся, що Apache Tomcat використовується лише веб-консоллю ESET PROTECT On-Prem.

  2. Видаліть Apache Tomcat. Це також призведе до видалення веб-консолі ESET PROTECT On-Prem.

  3. Завантажте інсталятор ESET PROTECT On-Prem All-in-one. Використовуйте ту саму версію, що й сервер ESET PROTECT On-Prem. Перевірте версію ESET PROTECT On-Prem та повязаних.

  4. Запустіть інсталятор ESET PROTECT On-Prem All-in-one. Виберіть мову та натисніть Далі.

  5. Виберіть Встановити та натисніть Далі.

  6. Ознайомтеся з Умовами використання, встановіть прапорець навпроти пункту Я приймаю Умови використання та натисніть Далі.

  7. Установіть прапорець навпроти ESET PROTECT Webconsole і натисніть Далі.

  8. Виберіть інсталяцію Java і натисніть кнопку Встановити.

  9. Сертифікат HTTPS буде автоматично згенеровано під час інсталяції. Після успішного встановлення ви зможете отримати доступ до веб-консолі ESET PROTECT On-Prem за допомогою захищеного з'єднання. Натисніть Готово.


Повторна інсталяція ESET PROTECT On-Prem Web Console за допомогою універсального інсталятора та використання спеціального сертифіката

Повторно інсталюйте веб-консоль ESET PROTECT On-Prem за допомогою інсталятора "Все в одному" та додайте власний сертифікат HTTPS.

  1. Переконайтеся, що Apache Tomcat використовується лише веб-консоллю ESET PROTECT On-Prem.

  2. Видаліть Apache Tomcat. Це також призведе до видалення веб-консолі ESET PROTECT On-Prem.

  3. Завантажте інсталятор ESET PROTECT On-Prem All-in-one. Використовуйте ту саму версію, що й сервер ESET PROTECT On-Prem. Перевірте версію ESET PROTECT On-Prem та повязаних.

  4. Запустіть інсталятор ESET PROTECT On-Prem All-in-one. Виберіть мову та натисніть Далі.

  5. Виберіть Встановити та натисніть Далі.

  6. Ознайомтеся з Умовами використання, встановіть прапорець навпроти пункту Я приймаю Умови використання та натисніть Далі.

  7. Установіть прапорець поруч із пунктами ESET PROTECT Webconsole і Додати власний сертифікат HTTPS для веб-консолі та натисніть Далі.

  8. Натисніть Огляд, знайдіть і виберіть власний сертифікат, введіть парольну фразу та натисніть Далі.

    Вимоги до сертифіката

    Кастомний HTTPS-сертифікат повинен відповідати наступним вимогам:

    • Вибрано правильний файл (.pfx, .p12)
    • Введено правильну парольну фразу
    • Сертифікат має приватний ключ
    • Сертифікат дійсний

  9. Виберіть вашу інсталяцію Java і натисніть Встановити.

  10. Під час інсталяції буде використано спеціальний сертифікат. Після успішного встановлення ви зможете отримати доступ до веб-консолі ESET PROTECT On-Prem за допомогою захищеного з'єднання. Натисніть Готово.


Створення нового сертифіката та налаштування HTTPS-з'єднання для веб-консолі ESET PROTECT On-Prem

Створіть новий сертифікат за допомогою сховища ключів Java і налаштуйте HTTPS-з'єднання в Apache Tomcat для ESET PROTECT On-Prem Web Console.

Веб-консоль ESET PROTECT On-Prem

Якщо у вас уже інстальовано веб-консоль ESET PROTECT On-Prem, дотримуйтесь наведених нижче інструкцій.

  1. Створіть сховище ключів із сертифікатом SSL.

    До складу Java входить програма keytool.exe, яка дає змогу створити сертифікат за допомогою командного рядка. Ви повинні створити новий сертифікат для кожного екземпляра Tomcat (якщо у вас кілька екземплярів Tomcat), щоб гарантувати, що інші екземпляри Tomcat залишаться в безпеці, якщо один сертифікат буде скомпрометований.

    Перейдіть до точного розташування файлу keytool.exe. Шлях залежить від операційної системи та версії Java, див. приклад нижче:

    C:\Program Files\Java\jre1.8.0_201\bin
  2. Відкрийте командний рядок / термінал в місці розташування keytool.exe.

  3. Відредагуйте і запустіть наступну команду. Відредагуйте параметри -keystore, -storepass і -keypass відповідно до вашого середовища.

    keytool.exe -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -storepass "ваш пароль" -keypass "ваш пароль" -dname "CN=Невідомо, OU=Невідомо, O=Невідомо, L=Невідомо, ST=Невідомо, C=Невідомо"
    -параметри storepass і -keypass

    Значення параметрів -storepass і -keypass мають бути однаковими.

  4. Відредагуйте і запустіть наступну команду. Відредагуйте параметри -file та -ext, щоб експортувати запит на отримання сертифіката зі сховища ключів.

    keytool.exe -certreq -alias tomcat -file "C:\Install\Tomcat\tomcat.csr" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -ext san=dns:ESETPROTECT
    -файл і параметри -ext

    Замініть значення "C:\Install\Tomcat\tomcat.csr" для параметра -file на фактичний шлях і ім'я файлу, куди буде експортовано сертифікат.

    Замініть значення ESETPROTECT для параметра -ext на фактичне ім'я хоста сервера, на якому запущено Apache Tomcat з ESET PROTECT On-Prem.

  5. Отримайте SSL-сертифікат, підписаний у кореневому центрі сертифікації (ЦС) за вашим вибором.

    Ви можете перейти до кроку 8, якщо плануєте імпортувати кореневий центр сертифікації пізніше. Якщо ви вирішите діяти таким чином, ваш веб-браузер може відображати попередження про самопідписаний сертифікат, і вам потрібно буде додати виняток для підключення до веб-консолі ESET PROTECT On-Prem через HTTPS.

  6. Імпортуйте кореневий сертифікат і проміжний сертифікат вашого центру сертифікації до сховища ключів. Зазвичай ці сертифікати надає організація, яка підписала ваш сертифікат. Це необхідно, оскільки відповідь сертифіката перевіряється за допомогою довірених сертифікатів зі сховища ключів.

    Відредагуйте і виконайте наступні команди. Відредагуйте параметри -keystore і -file відповідно до вашого середовища.

    keytool.exe -import -alias root -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\root.crt"
    keytool.exe -import -alias intermediate -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" -trustcacerts -file "C:\intermediate.crt.pem"
  7. Коли ви отримаєте підписаний сертифікат від кореневого центру сертифікації, імпортуйте відкритий ключ центру сертифікації, а потім сертифікат tomcat.cer до вашого сховища ключів.

    Відредагуйте і запустіть наступну команду. Відредагуйте параметри -file і -keystore.

    keytool.exe -import -alias tomcat -file "C:\Install\Tomcat\tomcat.cer" -keystore "C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore"
  8. Перейдіть до теки конфігурації Apache Tomcat. Шлях залежить від ОС і версії Apache Tomcat, див. приклад нижче:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf
  9. Відкрийте файл server.xml за допомогою текстового редактора (наприклад, Блокнот) і додайте наступний код після тегу </Engine> (якщо там вже присутній тег <Connector, відредагуйте код відповідно до наведеного нижче прикладу).

    Відредагуйте параметри keystoreFile і keystorePass відповідно до вашого середовища.

    <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\tomcat.keystore" keystorePass="yourpassword"/>
    Налаштування Apache Tomcat

    Ця модифікація також вимикає небезпечні функції Tomcat, залишаючи ввімкненим лише HTTPS( параметрscheme). З міркувань безпеки вам також може знадобитися відредагувати tomcat-users.xml, щоб видалити всіх користувачів Apache Tomcat і змінити ServerInfo.properties, щоб приховати ідентичність Apache Tomcat. Для отримання додаткової інформації зверніться до документації Apache Tomcat.

  10. Натисніть клавіші Windows + R, введіть services.msc і натисніть OK.

  11. Клацніть правою кнопкою миші службу Apache Tomcat 9.0 і виберіть Перезапустити з контекстного меню.


Налаштування HTTPS-з'єднання для веб-консолі ESET PROTECT On-Prem за допомогою спеціального сертифіката

Сертифікати ESET PROTECT On-Prem

Наведені нижче кроки стосуються сертифікатів для Apache Tomcat, які використовуються для забезпечення безпечних HTTPS-з'єднань. Відомості про сертифікати ESET PROTECT On-Prem див. в інтерактивній довідці ESET PROTECT On-Prem.

Налаштуйте HTTPS-з'єднання в Apache Tomcat для веб-консолі ESET PROTECT On-Prem за допомогою спеціального сертифіката.

  1. Перемістіть файл certificate.pfx до папки встановлення Apache Tomcat. Шлях залежить від операційної системи та версії Apache Tomcat, див. приклад нижче:
    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\
    Завжди використовуйте .pfx з паролем

    Сертифікат .pfx повинен мати пароль.

  2. Перейдіть до папки конфігурації Apache Tomcat. Шлях залежить від операційної системи та версії Apache Tomcat, див. приклад нижче:

    C:\Program Files\Apache Software Foundation\apache-tomcat-9.0.112\conf\
  3. Відкрийте файл server.xml за допомогою текстового редактора (наприклад, Блокнот).

    1. Якщо після тегу </Engine> немає тегу <Connector> (наприклад, коли ви виконуєте нову установку Apache Tomcat), скопіюйте наступний рядок в файл Server.xml після тегу </Engine>.

      Відредагуйте параметри keystoreFile, keystorePass і keystoreTag відповідно до вашого середовища.

      <Connector server="OtherWebServer" port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files\Apache Software Foundation\Tomcat_folder\certificate_file.pfx" keystorePass="Secret_Password_123" keystoreType="PKCS12" sslEnabledProtocols="TLSv1.2,TLSv1.3" ciphers="TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_256_CBC_SHA" />?
    2. Якщо після тега <Connector> присутній тег </Engine> (наприклад, при відновленні файлу server.xml після оновлення Apache Tomcat), замініть значення параметрів, перерахованих нижче, на свої значення.

      • keystoreFile - Вкажіть повний шлях до файлу сертифіката (.pfx, .keystore або інший). Якщо ви використовуєте сертифікат не JKS (наприклад, .pfx-файл), видаліть keyAlias (він присутній у файлі Server.xml за замовчуванням) і додайте відповідний keystoreType.
      • keystorePass-Вкажіть пароль сертифіката.
      • keystoreType - Вкажіть тип сертифіката.
      Документація по Apache Tomcat

      Для отримання додаткової інформації про HTTP-коннектор див. документацію Apache Tomcat.

  4. Натисніть клавіші Windows + R, введіть services.msc і натисніть OK.

  5. Клацніть правою кнопкою миші службу Apache Tomcat 9.0 і виберіть Перезапустити з контекстного меню.