При установке iManager в качестве отдельного приложения доступен временный самоподписанный сертификат для сервера Tomcat. Срок его действия — один год. NetIQ предоставляет этот сертификат, чтобы обеспечить безопасную работу iManager сразу после установки продукта. NetIQ и OpenSSL не рекомендуют использовать самоподписанные сертификаты. Допускается их применение для целей тестирования. Вместо этого необходимо заменить временный сертификат безопасным.
Tomcat хранит самоподписанный сертификат в хранилище ключей, использующем файл формата Tomcat (JKS). Как правило, достаточно импортировать закрытый ключ для замены сертификата. Тем не менее инструмент keytool, используемый для работы с хранилищем ключей Tomcat, не может импортировать закрытый ключ. Инструмент использует только самостоятельно сгенерированный ключ.
В этом разделе объясняется, как создать пару открытого и закрытого ключей в eDirectory, используя сервер сертификатов NetIQ, и заменить временный сертификат. При использовании eDirectory можно воспользоваться сервером сертификатов NetIQ для безопасного создания, отслеживания, хранения и отзыва сертификатов, что не требует дополнительного вложения средств.
ПРИМЕЧАНИЕ.Информация в данном разделе не относится к OES Linux, в которой устанавливаются и Apache, и Tomcat. Документация по OES Linux содержит сведения о замене самоподписанного сертификата Apache или Tomcat.
В этом разделе описано создание пары ключей в eDirectory и экспорт открытого ключа, закрытого ключа и ключа корневой сертифицирующей организации с использованием файла PKCS#12 на платформе Linux. Этот процесс включает в себя изменение конфигурационного файла Tomcat server.xml для использования директивы PKCS12 и указания в конфигурации настоящего расположения файла P12 вместо использования хранилища ключей JKS по умолчанию.
В этом процессе используются указанные ниже файлы.
/var/opt/novell/novlwww/.keystore, в котором хранится временная пара ключей
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, в котором хранятся доверенные корневые сертификаты
/etc/opt/novell/tomcat8/server.xml, который служит для настройки использования сертификатов сервером Tomcat
Замена самоподписанных сертификатов в Linux
Чтобы создать новый сертификат, выполните следующие действия.
Выполните вход в iManager.
Щелкните Сервер сертификатов NetIQ > Создать сертификат сервера.
Выберите соответствующий сервер.
Укажите псевдоним сервера.
Примите остальные значения по умолчанию для сертификата.
Чтобы экспортировать сертификат сервера в домашний каталог Tomcat, выполните следующие действия.
В iManager выберите Администрирование каталога > Изменение объекта.
Найдите и выберите объект управления знаниями на предприятиях.
Щелкните Сертификаты > Экспорт.
Укажите пароль.
Сохраните сертификат сервера как файл PKCS#12 (.pfx) в каталог /var/opt/novell/novlwww.
Чтобы преобразовать файл .pfx в файл .pem, выполните следующие действия.
Введите команду, например openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Укажите тот же пароль для сертификата, который вы указали в шаге Шаг 2.
Укажите пароль для нового файла .pem.
При желании можно использовать тот же пароль.
Чтобы преобразовать файл .pem в файл .p12, выполните следующие действия.
Введите команду, например openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Укажите тот же пароль для сертификата, который вы указали в шаге Шаг 3.
Укажите пароль для нового файла .p12.
При желании можно использовать тот же пароль.
Чтобы остановить сервер Tomcat, введите следующую команду:
/etc/init.d/novell-tomcat8 stop
Чтобы убедиться, что сервер Tomcat использует созданный файл сертификата .p12, добавьте переменные keystoreType, keystoreFile и keystorePass в конфигурационный файл Tomcat (по умолчанию это файл /etc/opt/novell/tomcat8.0.22/server.xml). Например:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
ПРИМЕЧАНИЕ.При установке PKCS12 в качестве типа хранилища ключей необходимо указывать полный путь к файлу сертификата, так как сервер Tomcat при этом не использует домашний каталог.
Чтобы убедиться, что файл сертификата .p12 функционирует правильно, выполните следующие действия.
Измените владельца файла на соответствующего пользователя/группу Tomcat (по умолчанию novlwww). Пример: chown novlwww:novlwww newtomcert.p12.
Измените разрешения файла следующим образом: user=rw, group=rw и others=r. Пример: chmod 654 newtomcert.p12.
Чтобы перезапустить сервер Tomcat, введите следующую команду:
/etc/init.d/novell-tomcat8 start
В этом разделе описано создание пары ключей в eDirectory и экспорт открытого ключа, закрытого ключа и ключа корневой сертифицирующей организации с использованием файла PKCS#12 на платформе Windows. Этот процесс включает в себя изменение конфигурационного файла Tomcat server.xml для использования директивы PKCS12 и указания в конфигурации настоящего расположения файла P12 вместо использования хранилища ключей JKS по умолчанию.
В этом процессе используются указанные ниже файлы.
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, в котором хранится временная пара ключей
C:\Program Files\Novell\jre\lib\security\cacerts, в котором хранятся доверенные корневые сертификаты
C:\Program Files\Novell\Tomcat\conf\server.xml, который служит для настройки использования сертификатов сервером Tomcat
Замена самоподписанных сертификатов в Windows
Чтобы создать новый сертификат, выполните следующие действия.
Выполните вход в iManager.
Щелкните Сервер сертификатов NetIQ > Создать сертификат сервера.
Выберите соответствующий сервер.
Укажите псевдоним сервера.
Примите остальные значения по умолчанию для сертификата.
Чтобы экспортировать сертификат , выполните следующие действия.
В iManager выберите Администрирование каталога > Изменение объекта.
Найдите и выберите объект управления знаниями на предприятиях.
Щелкните Сертификаты > Экспорт.
Укажите пароль.
Сохраните сертификат сервера как файл PKCS#12 (.pfx).
Чтобы преобразовать файл .pfx в файл .pem, выполните следующие действия.
ПРИМЕЧАНИЕ.OpenSSL не установлен в ОС Windows по умолчанию. Можно загрузить версию для платформы Windows с веб-сайта OpenSSL. Можно также преобразовать сертификат на компьютере с Linux, где OpenSSL устанавливается по умолчанию. Дополнительные сведения об использовании Linux для преобразования файла см. в разделе Раздел 3.1, Замена временных самоподписанных сертификатов для iManager.
Введите команду, например openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Укажите тот же пароль для сертификата, который вы указали в шаге Шаг 2.
Укажите пароль для нового файла .pem.
При желании можно использовать тот же пароль.
Чтобы преобразовать файл .pem в файл .p12, выполните следующие действия.
Введите команду, например openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Укажите тот же пароль для сертификата, который вы указали в шаге Шаг 3.
Укажите пароль для нового файла .p12.
При желании можно использовать тот же пароль.
Скопируйте файл .p12 в каталог, где хранятся сертификаты сервера Tomcat (по умолчанию это каталог C:\Program Files\Novell\Tomcat\conf\ssl\).
Чтобы остановить сервер Tomcat, введите следующую команду:
/etc/init.d/novell-tomcat8 stop
Чтобы убедиться, что сервер Tomcat использует созданный файл сертификата .p12, добавьте переменные keystoreType, keystoreFile и keystorePass в конфигурационный файл Tomcat server.xml. Например:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
При установке PKCS12 в качестве типа хранилища ключей необходимо указывать полный путь к файлу сертификата, так как сервер Tomcat при этом не использует домашний каталог.
Запустите сервис Tomcat.