As instalações independentes do iManager incluem um certificado autoassinado temporário para ser usado com o Tomcat. Ele é válido por um ano. A NetIQ fornece esse certificado para ajudar você a configurar e executar seu sistema, de modo que você possa usar o iManager com segurança logo após a instalação. O NetIQ e o OpenSSL não recomendam o uso de certificados auto-assinados, exceto para fins de teste. Em vez disso, você deve substituir o certificado temporário por um seguro.
O Tomcat armazena o certificado auto-assinado em um keystore que usa o arquivo no formato do Tomcat (JKS). Normalmente, você importaria uma chave privada para substituir o certificado. No entanto, a keytool usada por você para modificar o keystore do Tomcat não pode importar uma chave privada. A ferramenta usa apenas uma chave autogerada.
Esta seção explica como gerar um par de chaves pública/privada no eDirectory usando o Servidor de Certificação da NetIQ e como substituir o certificado temporário. Se estiver usando o eDirectory, você poderá usar o Servidor de Certificação da NetIQ para gerar, monitorar, armazenar e revogar certificados com segurança sem nenhum investimento adicional.
NOTA:As informações contidas nesta seção não se aplicam ao OES Linux, que instala Tomcat e Apache. A documentação do OES Linux contém informações sobre a substituição do certificado Apache/Tomcat autoassinado.
Esta seção descreve como criar um par de chaves no eDirectory e exportar as chaves Pública, Privada e Raiz da CA (Autoridade de Certificação) por meio de um arquivo PKCS#12 na plataforma Linux. Isso inclui modificar o arquivo de configuração server.xml do Tomcat para usar a diretiva PKCS12 e apontar a configuração para um arquivo P12 real em vez de usar o keystore JKS padrão.
Este processo usa os seguintes arquivos:
/var/opt/novell/novlwww/.keystore, que armazena o par de chaves temporário
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, que armazena os certificados raiz confiáveis
/etc/opt/novell/tomcat8/server.xml, usado para configurar o uso que o Tomcat faz dos certificados
Para substituir os certificados auto-assinados no Linux:
Para criar um novo certificado, execute os seguintes passos:
Efetue login no iManager.
Clique em Servidor de Certificado da NetIQ > Criar Certificado do Servidor.
Selecione o servidor apropriado.
Especifique um apelido para o servidor.
Aceite o restante dos valores padrão do certificado.
Para exportar o certificado do servidor para o diretório pessoal do Tomcat, conclua as seguintes etapas:
No iManager, selecione Administração do Diretório > Modificar Objeto.
Pesquise e selecione o objeto Key Material Object (KMO).
Clique em Certificados > Exportar.
Especifique uma senha.
Grave a certificação do servidor como PKCS#12 (.pfx) no diretório /var/opt/novell/novlwww.
Para converter o arquivo .pfx em um arquivo .pem, conclua as etapas a seguir:
Digite um comando, como openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Especifique a mesma senha para a certificação especificada em Etapa 2.
Especifique uma senha para o novo arquivo .pem.
Se desejar, você poderá usar a mesma senha.
Para converter o arquivo .pem em um arquivo .p12, conclua as etapas a seguir:
Digite um comando, como openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Especifique a mesma senha para o certificado especificado em Etapa 3.
Especifique uma senha para o novo arquivo .p12.
Se desejar, você poderá usar a mesma senha.
Para parar o Tomcat, digite o seguinte comando:
/etc/init.d/novell-tomcat8 stop
Para ter certeza de que o Tomcat usa o arquivo de certificado .p12 recém-criado, adicione as variáveis keystoreType, keystoreFile e keystorePass ao arquivo de configuração do Tomcat, por padrão /etc/opt/novell/tomcat8.0.22/server.xml. Por exemplo:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
NOTA:Ao definir o tipo de keystore como PKCS12, você deve especificar o caminho inteiro do arquivo de certificado, pois o padrão não será mais o uso do caminho pessoal do Tomcat.
Para ter certeza de que o arquivo de certificado .p12 funciona apropriadamente, conclua as etapas a seguir:
Mude a propriedade do arquivo para o usuário/grupo apropriado do Tomcat, por padrão novlwww. Por exemplo, chown novlwww:novlwww newtomcert.p12.
Mude as permissões do arquivo para usuário=rw, grupo=rw e outros=r. Por exemplo, chmod 654 newtomcert.p12.
Para reiniciar o Tomcat, digite o seguinte comando:
/etc/init.d/novell-tomcat8 start
Esta seção descreve como criar um par de chaves no eDirectory e exportar as chaves Pública, Privada e Raiz da CA (Autoridade de Certificação) por meio de um arquivo PKCS#12 na plataforma Windows. Isso inclui modificar o arquivo de configuração server.xml do Tomcat para usar a diretiva PKCS12 e apontar a configuração para um arquivo P12 real em vez de usar o keystore JKS padrão.
Este processo usa os seguintes arquivos:
C:\Arquivos de Programas\Novell\Tomcat\conf\ssl\.keystore, que armazena o par de chaves temporário
C:\Arquivos de Programas\Novell\jre\lib\security\cacerts, que armazena os certificados raiz confiáveis
C:\Arquivos de Programas\Novell\Tomcat\conf\server.xml, usado para configurar o uso que o Tomcat faz dos certificados
Para substituir os certificados auto-assinados no Windows:
Para criar um novo certificado, execute os seguintes passos:
Efetue login no iManager.
Clique em Servidor de Certificado da NetIQ > Criar Certificado do Servidor.
Selecione o servidor apropriado.
Especifique um apelido para o servidor.
Aceite o restante dos valores padrão do certificado.
Para exportar o certificado do servidor, conclua as seguintes etapas:
No iManager, selecione Administração do Diretório > Modificar Objeto.
Pesquise e selecione o objeto Key Material Object (KMO).
Clique em Certificados > Exportar.
Especifique uma senha.
Salve o certificado do servidor como um PKCS#12 (.pfx).
Para converter o arquivo .pfx em um arquivo .pem, conclua as etapas a seguir:
NOTA:O OpenSSL não está instalado no Windows por padrão. No entanto, você pode fazer download de uma versão para a plataforma Windows no site na Web do OpenSSL. Como alternativa, você pode converter o certificado em uma plataforma Linux, na qual o OpenLLS é instalado por padrão. Para obter mais informações sobre como usar o Linux para converter o arquivo, consulte Seção 3.1, Substituindo os certificados temporários auto-assinados do iManager.
Digite um comando, como openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Especifique a mesma senha para a certificação especificada em Etapa 2.
Especifique uma senha para o novo arquivo .pem.
Se desejar, você poderá usar a mesma senha.
Para converter o arquivo .pem em um arquivo .p12, conclua as etapas a seguir:
Digite um comando, como openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Especifique a mesma senha para o certificado especificado em Etapa 3.
Especifique uma senha para o novo arquivo .p12.
Se desejar, você poderá usar a mesma senha.
Copie o arquivo .p12 no local do certificado do Tomcat, por padrão C:\Arquivos de Programa\Novell\Tomcat\conf\ssl\.
Para parar o serviço Tomcat, digite o seguinte comando:
/etc/init.d/novell-tomcat8 stop
Para ter certeza de que o Tomcat usa o arquivo de certificado .p12 recém-criado, adicione as variáveis keystoreType, keystoreFile e keystorePass ao arquivo server.xml do Tomcat. Por exemplo:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Ao definir o tipo de keystore como PKCS12, você deve especificar o caminho inteiro do arquivo de certificado, pois o padrão não será mais o caminho pessoal do Tomcat.
Inicie o serviço Tomcat.