Las instalaciones de iManager independientes incluyen un certificado temporal, autofirmado para que Tomcat lo utilice. Tiene una fecha de caducidad de un año. NetIQ proporciona este certificado para ayudarle a poner en marcha el sistema y utilizar iManager de forma segura inmediatamente después de instalar el producto. NetIQ y OpenSSL no recomiendan el uso de certificados autofirmados, excepto para fines de prueba. En su lugar, debe reemplazar el certificado temporal por uno seguro.
Tomcat almacena el certificado autofirmado en un almacén de claves que utiliza un archivo con formato Tomcat (JKS). Normalmente, debe importar una clave privada para reemplazar el certificado. No obstante, la herramienta keytool que se utiliza para modificar el almacén de claves Tomcat no puede importar claves privadas. La herramienta solo utiliza claves autogeneradas.
En esta sección se explica cómo generar un par de claves públicas/privadas en eDirectory utilizando el Servidor de certificados de NetIQ y cómo reemplazar el certificado temporal. Si va a utilizar eDirectory, puede utilizar el Servidor de certificados de NetIQ para generar, rastrear, almacenar y revocar certificados de forma segura y sin necesidad de hacer inversiones adicionales.
NOTA:La información de esta sección no se aplica a OES Linux, que instala tanto Tomcat como Apache. En la documentación de OES Linux se incluye información acerca de cómo sustituir el certificado de Apache/Tomcat autofirmado.
En esta sección se explica cómo crear un par de claves en eDirectory y exportar las claves públicas, privadas y raíz de la autoridad certificadora (CA) a través de un archivo PKCS#12 en la plataforma Linux. Esto incluye la modificación del archivo de configuración server.xml de Tomcat para utilizar la directiva PKCS12 y dirigir la configuración a un archivo P12 real, en lugar de utilizar el almacén de claves JKS por defecto.
Este proceso utiliza los siguientes archivos:
/var/opt/novell/novlwww/.keystore, que aloja el par de claves temporal.
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, que aloja los certificados raíz de confianza.
/etc/opt/novell/tomcat8/server.xml, que se utiliza para configurar el uso que hace Tomcat de los certificados.
Para reemplazar los certificados autofirmados en Linux:
Para crear un nuevo certificado, realice los pasos siguientes:
Entre en iManager.
Haga clic en Servidor de certificados de NetIQ > Crear certificado de servidor.
Seleccione el servidor adecuado.
Especifique un apodo para el servidor.
Acepte los demás valores por defecto del certificado.
Para exportar el certificado de servidor al directorio personal de Tomcat, realice los pasos siguientes:
En iManager, seleccione Administración de directorio > Modificar objeto.
Busque y seleccione el Objeto de material de clave (KMO).
Haga clic en Certificados > Exportar.
Especifique una contraseña.
Guarde el certificado de servidor en formato de PKCS#12 (.pfx) en el directorio /var/opt/novell/novlwww.
Para convertir el archivo .pfx en un archivo .pem, realice los pasos siguientes:
Introduzca un comando, como openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Especifique la misma contraseña para el certificado que especificó en el Paso 2.
Especifique una contraseña para el nuevo archivo .pem.
Si lo desea, puede utilizar la misma contraseña.
Para convertir el archivo .pem en un archivo .p12, realice los pasos siguientes:
Introduzca un comando, como openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Especifique la misma contraseña para el certificado que especificó en el Paso 3.
Especifique una contraseña para el nuevo archivo .p12.
Si lo desea, puede utilizar la misma contraseña.
Para detener Tomcat, escriba el comando siguiente:
/etc/init.d/novell-tomcat8 stop
Para garantizar que Tomcat utiliza el archivo de certificado .p12 recién creado, añada las variables keystoreType, keystoreFile y keystorePass al archivo de configuración de Tomcat, que por defecto es /etc/opt/novell/tomcat8.0.22/server.xml. Por ejemplo:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
NOTA:Al definir el tipo de almacén de claves en PKCS12, debe especificar toda la vía hasta el archivo de certificados, ya que Tomcat no utilizará por defecto la vía principal de Tomcat.
Para asegurarse de que el archivo de certificado .p12 funciona correctamente, realice los pasos siguientes:
Cambie la propiedad del archivo al grupo o usuario de Tomcat adecuado, que por defecto es novlwww. Por ejemplo, chown novlwww:novlwww newtomcert.p12.
Cambie los permisos de archivo a user=rw, group=rw y others=r. Por ejemplo, chmod 654 newtomcert.p12.
Para reiniciar Tomcat, escriba el comando siguiente:
/etc/init.d/novell-tomcat8 start
En esta sección se explica cómo crear un par de claves en eDirectory y exportar las claves públicas, privadas y raíz de la autoridad certificadora (CA) a través de un archivo PKCS#12 en la plataforma Windows. Esto incluye la modificación del archivo de configuración server.xml de Tomcat para utilizar la directiva PKCS12 y dirigir la configuración a un archivo P12 real, en lugar de utilizar el almacén de claves JKS por defecto.
Este proceso utiliza los siguientes archivos:
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, que aloja el par de claves temporal.
C:\Program Files\Novell\jre\lib\security\cacerts, que aloja los certificados raíz de confianza.
C:\Program Files\Novell\Tomcat\conf\server.xml, que se utiliza para configurar el uso que hace Tomcat de los certificados.
Para reemplazar los certificados autofirmados en Windows:
Para crear un nuevo certificado, realice los pasos siguientes:
Entre en iManager.
Haga clic en Servidor de certificados de NetIQ > Crear certificado de servidor.
Seleccione el servidor adecuado.
Especifique un apodo para el servidor.
Acepte los demás valores por defecto del certificado.
Para exportar el certificado de servidor, realice los pasos siguientes:
En iManager, seleccione Administración de directorio > Modificar objeto.
Busque y seleccione el Objeto de material de clave (KMO).
Haga clic en Certificados > Exportar.
Especifique una contraseña.
Guarde el certificado de servidor en formato de PKCS#12 (.pfx).
Para convertir el archivo .pfx en un archivo .pem, realice los pasos siguientes:
NOTA:OpenSSL no está instalado en Windows por defecto. No obstante, puede descargar una versión para la plataforma Windows en el sitio Web de OpenSSL. Como alternativa, puede convertir el certificado en una plataforma Linux, en la que OpenSSL se instala por defecto. Para obtener más información acerca de cómo utilizar Linux para convertir el archivo, consulte la Sección 3.1, Reemplazo de los certificados autofirmados temporales para iManager.
Introduzca un comando, como openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Especifique la misma contraseña para el certificado que especificó en el Paso 2.
Especifique una contraseña para el nuevo archivo .pem.
Si lo desea, puede utilizar la misma contraseña.
Para convertir el archivo .pem en un archivo .p12, realice los pasos siguientes:
Introduzca un comando, como openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Especifique la misma contraseña para el certificado que especificó en el Paso 3.
Especifique una contraseña para el nuevo archivo .p12.
Si lo desea, puede utilizar la misma contraseña.
Copie el archivo .p12 en la ubicación del certificado de Tomcat, que por defecto es C:\Program Files\Novell\Tomcat\conf\ssl\.
Para detener el servicio Tomcat, utilice el siguiente comando:
/etc/init.d/novell-tomcat8 stop
Para asegurarse de que Tomcat utiliza el archivo de certificado .p12 recién creado, añada las variables keystoreType, keystoreFile y keystorePass al archivo de Tomcat server.xml. Por ejemplo:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Al definir el tipo de almacén de claves en PKCS12, debe especificar la vía completa hasta el archivo de certificado, ya que Tomcat no utilizará por defecto la vía principal de Tomcat.
Inicie el servicio Tomcat.