3.1 Az iManager átmeneti, önállóan aláírt tanúsítványainak cseréje

Az önállóan telepíthető iManager-verziók tartalmaznak egy ideiglenesen használható, önállóan aláírt Tomcat-tanúsítványt. Ez a tanúsítvány egy évig érvényes. A NetIQ azért biztosítja ezt a tanúsítványt, hogy a rendszert üzembe lehessen helyezni, és az iManager a telepítést követően azonnal biztonságosan használható legyen. A NetIQ és az OpenSSL tesztelési célokon kívül semmilyen más célra nem ajánlja az önállóan aláírt tanúsítványok használatát. Az átmeneti tanúsítványokat javasolt biztonságos tanúsítványokra cserélni.

A Tomcat az önállóan aláírt tanúsítványokat egy Tomcat (JKS) fájlformátumot használó kulcstárban tárolja. Normál esetben a tanúsítványt egy személyes kulcs importálásával cserélheti le. A Tomcat kulcstár módosításához használt kulcskezelő eszköz azonban nem teszi lehetővé személyes kulcsok importálását. Az eszköz csak önmaga által generált kulcs importálására képes.

Ebben a szakaszban megtudhatja, hogyan hozhat létre nyilvános/személyes kulcspárokat az átmeneti tanúsítvány lecseréléséhez az eDirectory szolgáltatásban a NetIQ Certificate Server használatával. Ha Ön használ eDirectory szolgáltatást, semmilyen további eszközt nem kell beszereznie, hiszen a NetIQ Certificate Server segítségével biztonságosan hozhat létre, követhet nyomon, tárolhat és vonhat vissza tanúsítványokat.

MEGJEGYZÉS:Az ebben a részben leírtak nem vonatkoznak az OES Linux-verziójára, mely a Tomcat és az Apache szoftvert egyaránt telepíti. Az OES Linux-verziójának dokumentációjában olvashatók az önállóan aláírt Apache- és Tomcat-tanúsítványok lecserélésének lépései.

3.1.1 Az önállóan aláírt iManager tanúsítványok cseréje Linux rendszerben

Ebben a szakaszban megtudhatja, hogyan hozhat létre Linux platformon kulcspárt az eDirectory segítségével, és hogyan exportálhatja a nyilvános, a személyes, valamint a gyökérszintű hitelesítésszolgáltatóhoz tartozó kulcsokat egy PKCS#12 fájllal. Az eljárás részeként a Tomcat server.xml konfigurációs fájlját is módosítani kell úgy, hogy a PKCS12-utasítás használja, és egy tényleges P12-fájlra mutasson ahelyett, hogy az alapértelmezett JKS-kulcstárat használná.

Az eljárás a következő fájlokat használja:

  • /var/opt/novell/novlwww/.keystore, amely az ideiglenes kulcspárt tárolja

  • /opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, amely a megbízható gyökértanúsítványokat tárolja

  • /etc/opt/novell/tomcat8/server.xml, amellyel az konfigurálható, hogy a Tomcat hogyan használja a tanúsítványokat

Az önállóan aláírt tanúsítványok cseréje Linux rendszerben:

  1. Új tanúsítvány létrehozásához hajtsa végre a következő lépéseket:

    1. Jelentkezzen be az iManager alkalmazásba.

    2. Ehhez kattintson a NetIQ Certificate Server > Kiszolgálótanúsítvány létrehozása lehetőségre.

    3. Adja meg a megfelelő kiszolgálót.

    4. Adja meg a kiszolgáló becenevét.

    5. Fogadja el a tanúsítvány további, alapértelmezett értékeit.

  2. A kiszolgálótanúsítvány exportálása a Tomcat kezdőkönyvtárába a következőképpen végezhető el:

    1. Az iManager alkalmazásban válassza a Címtárfelügyelet > Objektum módosítása lehetőséget.

    2. Tallózással keresse meg és jelölje ki a Key Material objektumot (KMO).

    3. Kattintson a Tanúsítványok > Exportálás lehetőségre.

    4. Adjon meg egy jelszót.

    5. Mentse a kiszolgálótanúsítványt PKCS#12-fájlként (.pfx) a /var/opt/novell/novlwww könyvtárba.

  3. A .pfx fájlt az alábbi lépésekkel konvertálhatja .pem fájllá:

    1. Adja ki például az openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem parancsot.

    2. A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 2).

    3. Adjon meg egy jelszót az új .pem fájlhoz.

      Használhatja ugyanazt a jelszót is, mint korábban.

  4. A .pem fájlt az alábbi lépésekkel konvertálhatja .p12 fájllá:

    1. Adja ki például az openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "Uj Tomcat" parancsot.

    2. A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 3).

    3. Adjon meg egy jelszót az új .p12 fájlhoz.

      Használhatja ugyanazt a jelszót is, mint korábban.

  5. A Tomcat leállításához írja be a következő parancsot:

    /etc/init.d/novell-tomcat8 stop

  6. Annak biztosítására, hogy a Tomcat az újonnan létrehozott .p12 tanúsítványfájlt használja, adja hozzá a keystoreType, keystoreFile és keystorePass változókat a Tomcat konfigurációs fájljához (alapértelmezés szerint: /etc/opt/novell/tomcat8.0.22/server.xml). Például:

    <Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
 port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
 acceptCount="100" debug="0" scheme="https" secure="true"
 useURIValidationHack="false" disableUploadTimeout="true">
   <Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
 clientAuth="false" protocol="TLS" keystoreType="PKCS12"
 keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>

    MEGJEGYZÉS:Amikor a kulcstároló típusaként a PKCS12-t állítja be, a tanúsítványfájl teljes elérési útját meg kell adnia, ugyanis a Tomcat ezek után már nem a kezdőkönyvtárát fogja alapértelmezésként használni.

  7. Az alábbi lépésekkel ellenőrizheti, hogy a .p12 megfelelően működik-e:

    1. A fájl tulajdonosaként állítsa be a megfelelő Tomcat-felhasználót/csoportot, amely alapértelmezés szerint: novlwww. Például: chown novlwww:novlwww newtomcert.p12.

    2. Az engedélyeket a következőképpen módosítsa: felhasználó=írás-olvasás, csoport=írás-olvasás, mások=olvasás. Például: chmod 654 newtomcert.p12.

  8. A Tomcat újraindításához írja be a következő parancsot:

    /etc/init.d/novell-tomcat8 start

3.1.2 Az önállóan aláírt iManager tanúsítványok cseréje Windows rendszerben

Ebben a szakaszban megtudhatja, hogyan hozhat létre Windows platformon kulcspárt az eDirectory segítségével, és hogyan exportálhatja a nyilvános, a személyes, valamint a gyökérszintű hitelesítésszolgáltatóhoz (CA) tartozó kulcsokat egy PKCS#12 fájllal. Az eljárás részeként a Tomcat server.xml konfigurációs fájlját is módosítani kell úgy, hogy a PKCS12-utasítás használja, és egy tényleges P12-fájlra mutasson ahelyett, hogy az alapértelmezett JKS-kulcstárat használná.

Az eljárás a következő fájlokat használja:

  • C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, amely az ideiglenes kulcspárt tárolja

  • C:\Program Files\Novell\jre\lib\security\cacerts, amely a megbízható gyökértanúsítványokat tárolja

  • C:\Program Files\Novell\Tomcat\conf\server.xml, amellyel az konfigurálható, hogy a Tomcat hogyan használja a tanúsítványokat

Az önállóan aláírt tanúsítványok cseréje Windows rendszerben:

  1. Új tanúsítvány létrehozásához hajtsa végre a következő lépéseket:

    1. Jelentkezzen be az iManager alkalmazásba.

    2. Ehhez kattintson a NetIQ Certificate Server > Kiszolgálótanúsítvány létrehozása lehetőségre.

    3. Adja meg a megfelelő kiszolgálót.

    4. Adja meg a kiszolgáló becenevét.

    5. Fogadja el a tanúsítvány további, alapértelmezett értékeit.

  2. Az új kiszolgálótanúsítvány exportálásához hajtsa végre a következő lépéseket:

    1. Az iManager alkalmazásban válassza a Címtárfelügyelet > Objektum módosítása lehetőséget.

    2. Tallózással keresse meg és jelölje ki a Key Material objektumot (KMO).

    3. Kattintson a Tanúsítványok > Exportálás lehetőségre.

    4. Adjon meg egy jelszót.

    5. Mentse a kiszolgálótanúsítványt PKCS#12 (.pfx) fájlként.

  3. A .pfx fájlt az alábbi lépésekkel konvertálhatja .pem fájllá:

    MEGJEGYZÉS:Alapbeállítások mellett az OpenSSL nincs telepítve a Windows rendszerű számítógépeken. A Windows platformot támogató verzió azonban letölthető az OpenSSL webhelyről. Azt is megteheti, hogy konvertálja a tanúsítványt egy olyan Linux platformon, amelyen alapértelmezésben telepítve van az OpenSSL. További tudnivalók a fájl konvertálásáról Linux használatával: Szakasz 3.1, Az iManager átmeneti, önállóan aláírt tanúsítványainak cseréje.

    1. Adja ki például az openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem parancsot.

    2. A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 2).

    3. Adjon meg egy jelszót az új .pem fájlhoz.

      Használhatja ugyanazt a jelszót is, mint korábban.

  4. A .pem fájlt az alábbi lépésekkel konvertálhatja .p12 fájllá:

    1. Adja ki például az openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "Uj Tomcat" parancsot.

    2. A tanúsítványhoz ugyanazt a jelszót adja meg, mint korábban (Lépés 3).

    3. Adjon meg egy jelszót az új .p12 fájlhoz.

      Használhatja ugyanazt a jelszót is, mint korábban.

  5. Másolja a .p12 fájlt a Tomcat tanúsítvány helyére, alapértelmezés szerint: C:\Program Files\Novell\Tomcat\conf\ssl\.

  6. A Tomcat szolgáltatás leállításához írja be a következő parancsot:

    /etc/init.d/novell-tomcat8 stop

  7. Annak biztosítására, hogy a Tomcat az újonnan létrehozott .p12 tanúsítványfájlt használja, adja hozzá a keystoreType, keystoreFile és keystorePass változókat a Tomcat server.xml fájljához. Például:

    <Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
 port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
 acceptCount="100" debug="0" scheme="https" secure="true"
 useURIValidationHack="false" disableUploadTimeout="true">
   <Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
 clientAuth="false" protocol="TLS" keystoreType="PKCS12"
 keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />

    Amikor a kulcstár típusaként a PKCS12 típust állítja be, a tanúsítványfájl teljes elérési útját meg kell adnia, ugyanis a Tomcat a továbbiakban már nem a kezdőkönyvtárát fogja alapértelmezésként használni.

  8. Indítsa el a Tomcat szolgáltatást.