POZNÁMKA:Informace v této části se nevztahují na systém OES Linux, na kterém je nainstalována služba Tomcat i Apache. Dokumentace systému OES Linux obsahuje informace o nahrazení certifikátu Apache/Tomcat podepsaného sebou samým.
Samostatné instalace aplikace iManager zahrnují dočasný certifikát podepsaný sebou samým, který bude používat služba Tomcat. Po roce vyprší datum konce platnosti tohoto certifikátu.
Tento postup není určen k dlouhodobé implementaci. Jedná se o dočasné řešení, které zajistí chod systému, abyste mohli aplikaci iManager začít bezpečně používat bezprostředně po instalaci. OpenSSL nedoporučuje používání certifikátů podepsaných sebou samými pro jiné účely než testování.
Jednou z výzev nahrazení certifikátu podepsaného sebou samým je, že výchozí úložiště klíčů služby Tomcat používá formát souboru Tomcat (JKS). Nástroj, který slouží ke změně tohoto úložiště klíčů, keytool, nemůže importovat soukromý klíč. Bude používat pouze klíč generovaný sebou samým.
Pokud používáte službu eDirectory, můžete pomocí služby Novell Certificate Server bezpečně generovat, sledovat, ukládat a odvolávat certifikáty bez další investice. Pokud chcete generovat dvojici veřejného a soukromého klíče ve službě eDirectory pomocí služby Novell Certificate Server, dokončete následující kroky pro příslušnou platformu:
Následující pokyny uvádějí, jak vytvořit dvojici klíčů ve službě eDirectory a exportovat veřejný a soukromý klíč a klíč certifikačního úřadu (CA) prostřednictvím souboru PKCS#12 na platformě Linux. Patří sem změna konfiguračního souboru server.xml služby Tomcat pro účely použití směrnice PKCS12 a nasměrování konfigurace na skutečný soubor P12 místo použití výchozího úložiště klíčů JKS.
Tento proces používá následující soubory:
Dočasná dvojice klíčů je uložena v souboru /var/opt/novell/novlwww/.keystore.
Důvěryhodné kořeny jsou umístěny v souboru /opt/novell/jdk1.7.0_25/jre/lib/security/cacerts.
Soubor pro konfiguraci použití certifikátů ve službě Tomcat je /etc/opt/novell/tomcat7/server.xml.
Vytvořte v aplikaci iManager nový certifikát serveru.
V aplikaci iManager vyberte možnost > (Vytvořit certifikát serveru). Vyberte příslušný server, zadejte přezdívku a přijměte zbývající výchozí hodnoty certifikátu.
Exportujte certifikát serveru do domovského adresáře služby Tomcat (/var/opt/novell/novlwww). V aplikaci iManager vyberte možnost > . Vyhledejte objekt KMO (objekt materiálu klíče). Na kartě vyberte možnost . Zadejte heslo a uložte certifikát serveru jako soubor PKCS#12 (.pfx).
Převeďte soubor .pfx na .pem.
Použijte k tomu příkaz podobný následujícímu:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Zadejte heslo certifikátu, které jste určili v části krok 2, a potom zadejte heslo pro nový soubor .pem. Pokud chcete, můžete použít stejné heslo.
Převeďte soubor .pem na .p12.
Použijte k tomu příkaz podobný následujícímu:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Zadejte heslo certifikátu, které jste určili v části krok 3, a potom zadejte heslo pro nový soubor .p12. Pokud chcete, můžete použít stejné heslo.
Zadáním následujícího příkazu zastavte službu Tomcat:
/etc/init.d/novell-tomcat7 stop
Upravte konfigurační soubor služby Tomcat (/etc/opt/novell/tomcat7.0.42/server.xml) a přidejte proměnné keystoreType, keystoreFile a keystorePass, tak aby služba Tomcat mohla používat nový soubor certifikátu .p12. Například:
<Connector className="org.apache.coyote.tomcat7.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
POZNÁMKA:Při nastavování typu úložiště klíčů na PKCS12 je nutné určit celou cestu k souboru certifikátu, protože služba Tomcat již ve výchozím nastavení nepřejde na svou domovskou cestu.
Změňte vlastnictví souboru .p12 na příslušného uživatele/skupinu Tomcat, obvykle novlwww, a nastavte oprávnění souboru na user=rw, group=rw a others=r. Například:
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Zadáním následujícího příkazu znovu spusťte službu Tomcat:
/etc/init.d/novell-tomcat7 start
Následující pokyny uvádějí, jak vytvořit dvojici klíčů ve službě eDirectory a exportovat veřejný a soukromý klíč a klíč certifikačního úřadu (CA) prostřednictvím souboru PKCS#12 na platformě Windows. Patří sem změna konfiguračního souboru server.xml služby Tomcat pro účely použití směrnice PKCS12 a nasměrování konfigurace na skutečný soubor P12 místo použití výchozího úložiště klíčů JKS.
S tímto procesem jsou spojeny následující soubory a jejich výchozí umístění:
Dočasná dvojice klíčů: C:\Program Files\Novell\Tomcat\conf\ssl\.keystore.
Důvěryhodné kořenové certifikáty: C:\Program Files\Novell\jre\lib\security\cacerts.
Konfigurace použití certifikátu služby Tomcat: C:\Program Files\Novell\Tomcat\conf\server.xml
Vytvořte v aplikaci iManager nový certifikát serveru.
V aplikaci iManager vyberte možnost > (Vytvořit certifikát serveru). Vyberte příslušný server, zadejte přezdívku a přijměte zbývající výchozí hodnoty certifikátu.
Exportujte certifikát serveru. V aplikaci iManager vyberte možnost > . Přejděte na objekt KMO a vyberte ho. Na kartě vyberte možnost . Zadejte heslo a uložte certifikát serveru jako soubor PKCS#12 (.pfx).
Převeďte soubor .pfx na .pem.
POZNÁMKA:OpenSSL není v systému Windows instalován ve výchozím nastavení, ale verze pro platformu Windows je k dispozici na webu OpenSSL. Případně můžete certifikát převést na platformě Linux, na které je OpenSSL nainstalován ve výchozím nastavení.
Použijte k tomu příkaz podobný následujícímu:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Zadejte heslo certifikátu z krok 2 a zadejte heslo pro nový soubor .pem. Pokud chcete, můžete použít stejné heslo.
Převeďte soubor .pem na .p12.
Použijte k tomu příkaz podobný následujícímu:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Zadejte heslo certifikátu z krok 3 a zadejte heslo pro nový soubor .p12. Pokud chcete, můžete použít stejné heslo.
Zkopírujte soubor .p12 do umístění certifikátu Tomcat.
Ve výchozím nastavení je to C:\Program Files\Novell\Tomcat\conf\ssl\.
Zastavte službu Tomcat.
/etc/init.d/novell-tomcat7 stop
Upravte soubor server.xml služby Tomcat a přidejte proměnné keystoreType, keystoreFile a keystorePass, aby služba Tomcat mohla používat nově vytvořený soubor certifikátu .p12. Například:
<Connector className="org.apache.coyote.tomcat7.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Při nastavování typu úložiště klíčů na PKCS12 je nutné určit celou cestu k souboru certifikátu, protože služba Tomcat již ve výchozím nastavení nepřejde na svou domovskou cestu.
Spusťte službu Tomcat.