Az önállóan telepíthető iManager-verziók tartalmaznak egy ideiglenesen használható, önállóan aláírt Tomcat-tanúsítványt. Ez a tanúsítvány egy évig érvényes. A NetIQ azért biztosítja ezt a tanúsítványt, hogy a rendszert üzembe lehessen helyezni, és az iManager a telepítést követően azonnal biztonságosan használható legyen. A NetIQ és az OpenSSL tesztelési célokon kívül semmilyen más célra nem ajánlja az önállóan aláírt tanúsítványok használatát. Az átmeneti tanúsítványokat javasolt biztonságos tanúsítványokra cserélni.
A Tomcat az önállóan aláírt tanúsítványokat egy Tomcat (JKS) fájlformátumot használó kulcstárban tárolja. Normál esetben a tanúsítványt egy személyes kulcs importálásával cserélheti le. A Tomcat kulcstár módosításához használt kulcskezelő eszköz azonban nem teszi lehetővé személyes kulcsok importálását. Az eszköz csak önmaga által generált kulcs importálására képes.
Ebben a szakaszban megtudhatja, hogyan hozhat létre nyilvános/személyes kulcspárokat az átmeneti tanúsítvány lecseréléséhez az eDirectory szolgáltatásban a NetIQ Certificate Server használatával. Ha Ön használ eDirectory szolgáltatást, semmilyen további eszközt nem kell beszereznie, hiszen a NetIQ Certificate Server segítségével biztonságosan hozhat létre, követhet nyomon, tárolhat és vonhat vissza tanúsítványokat.
MEGJEGYZÉS:Az ebben a részben leírtak nem vonatkoznak az OES Linux-verziójára, mely a Tomcat és az Apache szoftvert egyaránt telepíti. Az OES Linux-verziójának dokumentációjában olvashatók az önállóan aláírt Apache- és Tomcat-tanúsítványok lecserélésének lépései.
Ebben a szakaszban megtudhatja, hogyan hozhat létre Linux platformon kulcspárt az eDirectory segítségével, és hogyan exportálhatja a nyilvános, a személyes, valamint a gyökérszintű hitelesítésszolgáltatóhoz tartozó kulcsokat egy PKCS#12 fájllal. Az eljárás részeként a Tomcat server.xml konfigurációs fájlját is módosítani kell úgy, hogy a PKCS12-utasítás használja, és egy tényleges P12-fájlra mutasson ahelyett, hogy az alapértelmezett JKS-kulcstárat használná.
Az eljárás a következő fájlokat használja:
/var/opt/novell/novlwww/.keystore, amely az ideiglenes kulcspárt tárolja
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, amely a megbízható gyökértanúsítványokat tárolja
/etc/opt/novell/tomcat8/server.xml, amellyel az konfigurálható, hogy a Tomcat hogyan használja a tanúsítványokat
Az önállóan aláírt tanúsítványok cseréje Linux rendszerben:
Új tanúsítvány létrehozásához hajtsa végre a következő lépéseket:
Jelentkezzen be az iManager alkalmazásba.
Ehhez kattintson a NetIQ Certificate Server > Kiszolgálótanúsítvány létrehozása lehetőségre.
Adja meg a megfelelő kiszolgálót.
Adja meg a kiszolgáló becenevét.
Fogadja el a tanúsítvány további, alapértelmezett értékeit.
A kiszolgálótanúsítvány exportálása a Tomcat kezdőkönyvtárába a következőképpen végezhető el:
Az iManager alkalmazásban válassza a Címtárfelügyelet > Objektum módosítása lehetőséget.
Tallózással keresse meg és jelölje ki a Key Material objektumot (KMO).
Kattintson a Tanúsítványok > Exportálás lehetőségre.
Adjon meg egy jelszót.
Mentse a kiszolgálótanúsítványt PKCS#12-fájlként (.pfx) a /var/opt/novell/novlwww könyvtárba.
A .pfx fájlt az alábbi lépésekkel konvertálhatja .pem fájllá:
Adja ki például az openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem parancsot.
A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 2).
Adjon meg egy jelszót az új .pem fájlhoz.
Használhatja ugyanazt a jelszót is, mint korábban.
A .pem fájlt az alábbi lépésekkel konvertálhatja .p12 fájllá:
Adja ki például az openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "Uj Tomcat" parancsot.
A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 3).
Adjon meg egy jelszót az új .p12 fájlhoz.
Használhatja ugyanazt a jelszót is, mint korábban.
A Tomcat leállításához írja be a következő parancsot:
/etc/init.d/novell-tomcat8 stop
Annak biztosítására, hogy a Tomcat az újonnan létrehozott .p12 tanúsítványfájlt használja, adja hozzá a keystoreType, keystoreFile és keystorePass változókat a Tomcat konfigurációs fájljához (alapértelmezés szerint: /etc/opt/novell/tomcat8.0.22/server.xml). Például:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
MEGJEGYZÉS:Amikor a kulcstároló típusaként a PKCS12-t állítja be, a tanúsítványfájl teljes elérési útját meg kell adnia, ugyanis a Tomcat ezek után már nem a kezdőkönyvtárát fogja alapértelmezésként használni.
Az alábbi lépésekkel ellenőrizheti, hogy a .p12 megfelelően működik-e:
A fájl tulajdonosaként állítsa be a megfelelő Tomcat-felhasználót/csoportot, amely alapértelmezés szerint: novlwww. Például: chown novlwww:novlwww newtomcert.p12.
Az engedélyeket a következőképpen módosítsa: felhasználó=írás-olvasás, csoport=írás-olvasás, mások=olvasás. Például: chmod 654 newtomcert.p12.
A Tomcat újraindításához írja be a következő parancsot:
/etc/init.d/novell-tomcat8 start
Ebben a szakaszban megtudhatja, hogyan hozhat létre Windows platformon kulcspárt az eDirectory segítségével, és hogyan exportálhatja a nyilvános, a személyes, valamint a gyökérszintű hitelesítésszolgáltatóhoz (CA) tartozó kulcsokat egy PKCS#12 fájllal. Az eljárás részeként a Tomcat server.xml konfigurációs fájlját is módosítani kell úgy, hogy a PKCS12-utasítás használja, és egy tényleges P12-fájlra mutasson ahelyett, hogy az alapértelmezett JKS-kulcstárat használná.
Az eljárás a következő fájlokat használja:
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, amely az ideiglenes kulcspárt tárolja
C:\Program Files\Novell\jre\lib\security\cacerts, amely a megbízható gyökértanúsítványokat tárolja
C:\Program Files\Novell\Tomcat\conf\server.xml, amellyel az konfigurálható, hogy a Tomcat hogyan használja a tanúsítványokat
Az önállóan aláírt tanúsítványok cseréje Windows rendszerben:
Új tanúsítvány létrehozásához hajtsa végre a következő lépéseket:
Jelentkezzen be az iManager alkalmazásba.
Ehhez kattintson a NetIQ Certificate Server > Kiszolgálótanúsítvány létrehozása lehetőségre.
Adja meg a megfelelő kiszolgálót.
Adja meg a kiszolgáló becenevét.
Fogadja el a tanúsítvány további, alapértelmezett értékeit.
Az új kiszolgálótanúsítvány exportálásához hajtsa végre a következő lépéseket:
Az iManager alkalmazásban válassza a Címtárfelügyelet > Objektum módosítása lehetőséget.
Tallózással keresse meg és jelölje ki a Key Material objektumot (KMO).
Kattintson a Tanúsítványok > Exportálás lehetőségre.
Adjon meg egy jelszót.
Mentse a kiszolgálótanúsítványt PKCS#12 (.pfx) fájlként.
A .pfx fájlt az alábbi lépésekkel konvertálhatja .pem fájllá:
MEGJEGYZÉS:Alapbeállítások mellett az OpenSSL nincs telepítve a Windows rendszerű számítógépeken. A Windows platformot támogató verzió azonban letölthető az OpenSSL webhelyről. Azt is megteheti, hogy konvertálja a tanúsítványt egy olyan Linux platformon, amelyen alapértelmezésben telepítve van az OpenSSL. További tudnivalók a fájl konvertálásáról Linux használatával: Szakasz 3.1, Az iManager átmeneti, önállóan aláírt tanúsítványainak cseréje.
Adja ki például az openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem parancsot.
A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 2).
Adjon meg egy jelszót az új .pem fájlhoz.
Használhatja ugyanazt a jelszót is, mint korábban.
A .pem fájlt az alábbi lépésekkel konvertálhatja .p12 fájllá:
Adja ki például az openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "Uj Tomcat" parancsot.
A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 3).
Adjon meg egy jelszót az új .p12 fájlhoz.
Használhatja ugyanazt a jelszót is, mint korábban.
Másolja a .p12 fájlt a Tomcat tanúsítvány helyére, alapértelmezés szerint: C:\Program Files\Novell\Tomcat\conf\ssl\.
A Tomcat szolgáltatás leállításához írja be a következő parancsot:
/etc/init.d/novell-tomcat8 stop
Annak biztosítására, hogy a Tomcat az újonnan létrehozott .p12 tanúsítványfájlt használja, adja hozzá a keystoreType, keystoreFile és keystorePass változókat a Tomcat server.xml fájljához. Például:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Amikor a kulcstár típusaként a PKCS12 típust állítja be, a tanúsítványfájl teljes elérési útját meg kell adnia, ugyanis a Tomcat a továbbiakban már nem a kezdőkönyvtárát fogja alapértelmezésként használni.
Indítsa el a Tomcat szolgáltatást.