Instalacje autonomiczne programu iManager zawierają tymczasowy, samopodpisany certyfikat, używany przez serwer Tomcat. Okres ważności tego certyfikatu to jeden rok. Firma NetIQ udostępnia ten certyfikat, aby pomóc w uruchomieniu systemu, tak aby można było bezpiecznie używać programu iManager od razu po zainstalowaniu produktu. Firma NetIQ nie zaleca korzystania z certyfikatów samopodpisanych, chyba że w celach związanych z testowaniem. Podobnie nie jest to zalecane w standardzie OpenSSL. Należy zastąpić tymczasowy certyfikat bezpiecznym.
Sewer Tomcat przechowuje certyfikat samopodpisany w magazynie kluczy w pliku w formacie Tomcat (JKS). Zazwyczaj w celu zastąpienia certyfikatu importuje się klucz prywatny. Jednak narzędzie keytool używane do modyfikowania magazynu kluczy serwera Tomcat nie może importować kluczy prywatnych. Narzędzie to używa tylko samodzielnie wygenerowanego klucza.
W tej części wyjaśniono, jak wygenerować parę kluczy prywatnych/publicznych przy użyciu serwera NetIQ Certificate Server i zastąpić certyfikat tymczasowy. Jeśli używana jest usługa eDirectory, można bez dalszych inwestycji używać serwera NetIQ Certificate Server do bezpiecznego generowania, śledzenia, przechowywania i odwoływania certyfikatów.
UWAGA:Informacje zawarte w tej części nie dotyczą platformy OES Linux, w której jest instalowany zarówno serwer Tomcat, jak i Apache. Informacje o zamianie samopodpisanego certyfikatu serwera Apache/Tomcat można znaleźć w dokumentacji systemu OES Linux.
W tej części opisano sposób tworzenia pary kluczy w usłudze eDirectory oraz eksportowania klucza publicznego, klucza prywatnego i klucza głównego ośrodka certyfikacji za pomocą pliku PKCS#12 na platformie Linux. Obejmuje to modyfikację pliku konfiguracji server.xml serwera Tomcat w celu użycia dyrektywy PKCS12 i nakierowania konfiguracji na rzeczywisty plik P12 zamiast używania domyślnego magazynu kluczy JKS.
W tym procesie są używane następujące pliki:
/var/opt/novell/novlwww/.keystore, który przechowuje tymczasową parę kluczy;
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, który przechowuje zaufane certyfikaty główne;
/etc/opt/novell/tomcat8/server.xml, który służy do konfigurowania używania certyfikatów przez serwer Tomcat.
Aby zastąpić samopodpisane certyfikaty w systemie Linux:
Aby utworzyć nowy certyfikat, wykonaj następujące czynności:
Zaloguj się do programu iManager.
Kliknij kolejno opcje NetIQ Certificate Server > Utwórz certyfikat serwera.
Wybierz właściwy serwer.
Określ nazwę skróconą serwera.
Zaakceptuj pozostałe wartości domyślne certyfikatu.
Aby wyeksportować certyfikat serwera do katalogu domowego serwera Tomcat, wykonaj następujące czynności:
W programie iManager wybierz kolejno opcje Administrowanie katalogiem > Modyfikuj obiekt.
Odszukaj metodą przeglądania i wybierz obiekt KMO (Key Material Object).
Kliknij kolejno opcje Certyfikaty > Eksportuj.
Podaj hasło.
Zapisz certyfikat serwera jako plik PKCS#12 (pfx) w katalogu /var/opt/novell/novlwww.
Aby przekonwertować plik pfx na pem, wykonaj następujące czynności:
Wprowadź polecenie, takie jak openssl pkcs12 -in nowycerttom.pfx -out nowycerttom.pem.
Podaj to samo hasło dla certyfikatu co określone wcześniej (etap 2).
Podaj hasło dla nowego pliku pem.
W razie potrzeby możesz użyć tego samego hasła.
Aby przekonwertować plik pem na p12, wykonaj następujące czynności:
Wprowadź polecenie, takie jak openssl pkcs12 -export -in nowycerttom.pem -out nowycerttom.p12 -name "Nowy Tomcat".
Podaj to samo hasło dla certyfikatu co określone wcześniej (etap 3).
Podaj hasło dla nowego pliku p12.
W razie potrzeby możesz użyć tego samego hasła.
Aby zatrzymać serwer Tomcat, wprowadź następujące polecenie:
/etc/init.d/novell-tomcat8 stop
Aby zapewnić używanie przez serwer Tomcat nowo utworzonego pliku certyfikatu p12, dodaj zmienne keystoreType, keystoreFile i keystorePass do pliku konfiguracyjnego serwera Tomcat (domyślnie jest to plik /etc/opt/novell/tomcat8.0.22/server.xml) Na przykład:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
UWAGA:W przypadku ustawienia jako typu magazynu kluczy opcji PKCS12 należy podać pełną ścieżkę do pliku certyfikatu, ponieważ serwer Tomcat nie używa już domyślnie ścieżki domowej serwera Tomcat.
Aby zapewnić poprawne działanie pliku certyfikatu p12, wykonaj następujące czynności:
Zmień właściciela pliku na właściwego użytkownika/właściwą grupę serwera Tomcat (domyślnie jest to novlwww). Na przykład chown novlwww:novlwww nowycerttom.p12.
Zmień uprawnienia pliku na user=rw, group=rw i others=r. Na przykład chmod 654 nowycerttom.p12.
Aby ponownie uruchomić serwer Tomcat, wprowadź następujące polecenie:
/etc/init.d/novell-tomcat8 start
W tej części opisano sposób tworzenia pary kluczy w usłudze eDirectory oraz eksportowania klucza publicznego, klucza prywatnego i klucza głównego ośrodka certyfikacji za pomocą pliku PKCS#12 na platformie Windows. Obejmuje to modyfikację pliku konfiguracji server.xml serwera Tomcat w celu użycia dyrektywy PKCS12 i nakierowania konfiguracji na rzeczywisty plik P12 zamiast używania domyślnego magazynu kluczy JKS.
W tym procesie są używane następujące pliki:
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, który przechowuje tymczasową parę kluczy;
C:\Program Files\Novell\jre\lib\security\cacerts, który przechowuje zaufane certyfikaty główne;
C:\Program Files\Novell\Tomcat\conf\server.xml, który służy do konfigurowania używania certyfikatów przez serwer Tomcat.
Aby zastąpić samopodpisane certyfikaty w systemie Windows:
Aby utworzyć nowy certyfikat, wykonaj następujące czynności:
Zaloguj się do programu iManager.
Kliknij kolejno opcje NetIQ Certificate Server > Utwórz certyfikat serwera.
Wybierz właściwy serwer.
Określ nazwę skróconą serwera.
Zaakceptuj pozostałe wartości domyślne certyfikatu.
Aby wyeksportować certyfikat serwera, wykonaj następujące czynności:
W programie iManager wybierz kolejno opcje Administrowanie katalogiem > Modyfikuj obiekt.
Odszukaj metodą przeglądania i wybierz obiekt KMO (Key Material Object).
Kliknij kolejno opcje Certyfikaty > Eksportuj.
Podaj hasło.
Zapisz certyfikat serwera jako plik PKCS#12 (pfx).
Aby przekonwertować plik pfx na pem, wykonaj następujące czynności:
UWAGA:W systemie Windows oprogramowanie OpenSSL nie jest instalowane domyślnie. Można jednak pobrać wersję dla platformy Windows z witryny OpenSSL w sieci Web. Można też przekonwertować certyfikat na platformie Linux, na której oprogramowanie OpenSSL jest zainstalowane domyślnie. Aby uzyskać więcej informacji na temat konwertowania pliku za pomocą systemu Linux, zobacz Sekcja 3.1, Zastępowanie tymczasowych samopodpisanych certyfikatów dla programu iManager.
Wprowadź polecenie, takie jak openssl pkcs12 -in nowycerttom.pfx -out nowycerttom.pem.
Podaj to samo hasło dla certyfikatu co określone wcześniej (etap 2).
Podaj hasło dla nowego pliku pem.
W razie potrzeby możesz użyć tego samego hasła.
Aby przekonwertować plik pem na p12, wykonaj następujące czynności:
Wprowadź polecenie, takie jak openssl pkcs12 -export -in nowycerttom.pem -out nowycerttom.p12 -name "Nowy Tomcat".
Podaj to samo hasło dla certyfikatu co określone wcześniej (etap 3).
Podaj hasło dla nowego pliku p12.
W razie potrzeby możesz użyć tego samego hasła.
Skopiuj plik p12 do położenia certyfikatu serwera Tomcat (domyślnie jest to C:\Program Files\Novell\Tomcat\conf\ssl\).
Aby zatrzymać usługę Tomcat, wprowadź następujące polecenie:
/etc/init.d/novell-tomcat8 stop
Aby zapewnić używanie przez serwer Tomcat nowo utworzonego pliku certyfikatu p12, dodaj zmienne keystoreType, keystoreFile i keystorePass do pliku server.xml serwera Tomcat. Na przykład:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
W przypadku ustawienia jako typu magazynu kluczy opcji PKCS12 należy podać pełną ścieżkę do pliku certyfikatu, ponieważ serwer Tomcat nie używa już domyślnie ścieżki domowej serwera Tomcat.
Uruchom usługę Tomcat.