Le installazioni standalone di iManager includono un certificato temporaneo, firmato da se stessi, per l'utilizzo da parte di Tomcat. Il periodo di validità è di un anno. NetIQ fornisce questo certificato per agevolare il funzionamento e l'esecuzione corretti del sistema, in modo tale da poter utilizzare in modo sicuro iManager subito dopo averlo installato. NetIQ e OpenSSL sconsigliano di utilizzare certificati firmati da se stessi, fuorché per scopi di verifica. È necessario, invece, sostituire il certificato temporaneo con uno sicuro.
Tomcat memorizza il certificato firmato da se stessi in un archivio chiavi che utilizza file di formato (JKS) Tomcat. Generalmente, è necessario importare una chiave privata per sostituire il certificato. Tuttavia, il keytool utilizzato per modificare l'archivio chiavi Tomcat non può importare una chiave privata. Lo strumento utilizza solo una chiave generata automaticamente.
In questa sezione, viene spiegato il modo in cui è possibile generare una coppia di chiavi pubbliche/private in eDirectory, utilizzando NetIQ Certificate Server e come sostituire il certificato temporaneo. Qualora sia in uso eDirectory, sarà possibile utilizzare NetIQ Certificate Server per generare, tenere traccia, memorizzare e revocare i certificati in modo sicuro, senza necessità di ulteriori investimenti.
NOTA:Le informazioni contenute in questa sezione non si applicano a OES Linux, su cui è possibile installare sia Tomcat che Apache. Nella documentazione di OES Linux sono reperibili informazioni relative alla sostituzione del certificato Apache/Tomcat firmato da se stessi.
In questa sezione viene descritto come creare una coppia di chiavi in eDirectory ed esportare l'Autorità di certificazione (CA) pubblica, privata e radice tramite un file PKCS#12 sulla piattaforma Linux. La procedura include la modifica del file di configurazione server.xml di Tomcat allo scopo di utilizzare la direttiva PKCS12 e indicare nella configurazione un file P12 effettivo invece di utilizzare l'archivio chiavi JKS di default.
In questo processo vengono utilizzati i seguenti file:
/var/opt/novell/novlwww/.keystore, che conserva la coppia di chiavi temporanea
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, che conserva i certificati della fonte attendibile
/etc/opt/novell/tomcat8/server.xml, che è utilizzato per configurare il modo in cui Tomcat si avvale dei certificati
Per sostituire i certificati firmati da se stessi su Linux:
Per creare un certificato nuovo, completare i passaggi seguenti:
Eseguire il login a iManager.
Fare clic su NetIQ Certificate Server > Create Server Certificate (Crea certificato server).
Selezionare il server appropriato.
Specificare un soprannome per il server.
Accettare il resto di valori del certificato impostati per default.
Per esportare il certificato del server nella home directory di Tomcat, completare i passaggi seguenti:
In iManager, selezionare Amministrazione di directory > Modifica oggetto.
Individuare e selezionare l'oggetto KMO (Key Material Object).
Fare clic su Certificati > Esporta.
Specificare una password.
Salvare il certificato del server come un file PKCS#12 (.pfx) nella directory /var/opt/novell/novlwww.
Per convertire il file .pfx in un file .pem, completare i passaggi seguenti:
Immettere un comando, come openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Specificare la stessa password per il certificato che è stato indicato in Passaggio 2.
Indicare una password per il nuovo file .pem.
Se lo si desidera, è possibile utilizzare la stessa password.
Per convertire il file .pem in un file .p12, completare i passaggi seguenti:
Immettere un comando, come openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Specificare la stessa password per il certificato che è stato indicato in Passaggio 3.
Indicare una password per il nuovo file .p12.
Se lo si desidera, è possibile utilizzare la stessa password.
Per interrompere il servizio Tomcat, immettere il comando seguente:
/etc/init.d/novell-tomcat8 stop
Per assicurarsi che Tomcat utilizza il file del certificato .p12 appena creato, aggiungere le variabili keystoreType, keystoreFile e keystorePass al file di configurazione di Tomcat, per default /etc/opt/novell/tomcat8.0.22/server.xml. Ad esempio:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
NOTA:Se il tipo di archivio chiavi viene impostato su PKCS12, sarà necessario specificare l'intero percorso del file del certificato, in quanto Tomcat non utilizzerà più il percorso della home directory di Tomcat come default.
Per assicurarsi che il file del certificato .p12 funzioni come previsto, completare i passaggi seguenti:
Modificare la proprietà del file con l'utente o gruppo Tomcat appropriato, per default novlwww. Ad esempio, chown novlwww:novlwww newtomcert.p12.
Modificare le autorizzazioni del file in user=rw, group=rw e others=r. Ad esempio, chmod 654 newtomcert.p12.
Per riavviare il servizio Tomcat, immettere il comando seguente:
/etc/init.d/novell-tomcat8 start
In questa sezione viene descritto come creare una coppia di chiavi in eDirectory ed esportare l'Autorità di certificazione (CA) pubblica, privata e radice tramite un file PKCS#12 sulla piattaforma Windows. La procedura include la modifica del file di configurazione server.xml di Tomcat allo scopo di utilizzare la direttiva PKCS12 e indicare nella configurazione un file P12 effettivo, invece di utilizzare l'archivio chiavi JKS di default.
In questo processo vengono utilizzati i seguenti file:
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, che conserva la coppia di chiavi temporanea
C:\Program Files\Novell\jre\lib\security\cacerts, che conserva i certificati di fonti attendibili
C:\Program Files\Novell\Tomcat\conf\server.xml, che è utilizzato per configurare il modo in cui Tomcat si avvale dei certificati
Per sostituire i certificati firmati da se stessi su Windows:
Per creare un certificato nuovo, completare i passaggi seguenti:
Eseguire il login a iManager.
Fare clic su NetIQ Certificate Server > Create Server Certificate (Crea certificato server).
Selezionare il server appropriato.
Specificare un soprannome per il server.
Accettare il resto di valori del certificato impostati per default.
Per esportare il certificato del server, completare i passaggi seguenti:
In iManager, selezionare Amministrazione di directory > Modifica oggetto.
Individuare e selezionare l'oggetto KMO (Key Material Object).
Fare clic su Certificati > Esporta.
Specificare una password.
Salvare il certificato del server come un file PKCS#12 (.pfx).
Per convertire il file .pfx in un file .pem, completare i passaggi seguenti:
NOTA:Per default, OpenSSL non è installato su Windows. Tuttavia, è possibile effettuare il download di una versione per piattaforme Windows dal sito Web OpenSSL. In alternativa, è possibile convertire il certificato su una piattaforma Linux, sulla quale OpenSSL è installato per default. Per ulteriori informazioni sull'utilizzo di Linux per la conversione del file, consultare Sezione 3.1, Sostituzione dei certificati temporanei firmati da se stessi per iManager.
Immettere un comando, come openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Specificare la stessa password per il certificato che è stato indicato in Passaggio 2.
Indicare una password per il nuovo file .pem.
Se lo si desidera, è possibile utilizzare la stessa password.
Per convertire il file .pem in un file .p12, completare i passaggi seguenti:
Immettere un comando, come openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Specificare la stessa password per il certificato che è stato indicato in Passaggio 3.
Indicare una password per il nuovo file .p12.
Se lo si desidera, è possibile utilizzare la stessa password.
Copiare il file .p12 nell'ubicazione del certificato di Tomcat, per default C:\Program Files\Novell\Tomcat\conf\ssl\.
Per interrompere il servizio Tomcat, immettere il comando seguente:
/etc/init.d/novell-tomcat8 stop
Per assicurarsi che Tomcat utilizzi il file del certificato .p12 appena creato, aggiungere le variabili keystoreType, keystoreFile e keystorePass al file server.xml di Tomcat. Ad esempio:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Se il tipo di archivio chiavi viene impostato su PKCS12, sarà necessario specificare l'intero percorso del file del certificato, in quanto Tomcat non utilizzerà più il percorso della home directory di Tomcat come default.
Avvia il servizio Tomcat.