ПРИМЕЧАНИЕ.Информация в данном разделе не относится к OES Linux, в которой устанавливаются и Apache, и Tomcat. Документация по OES Linux содержит сведения о замене самоподписанного сертификата Apache или Tomcat.
При установке iManager в качестве отдельного приложения доступен временный самоподписанный сертификат для сервера Tomcat. Срок его действия составляет один год.
Длительное использование сертификата не подразумевается. Это временное решение, которое дает возможность запустить систему для безопасного использования iМanager сразу после установки. OpenSSL не рекомендует использовать самоподписанные сертификаты. Допускается их применение для целей тестирования.
Замену самоподписанных сертификатов для Tomcat усложняет то, что хранилище ключей по умолчанию находится в файле формата Tomcat (JKS). Программа для изменения хранилища ключей keytool не поддерживает импорт закрытых ключей и работает только с самостоятельно созданными ключами.
При использовании eDirectory можно воспользоваться сервером сертификатов Novell для безопасного создания, отслеживания, хранения и отзыва сертификатов, что не требует дополнительного вложения средств. Для того чтобы создать пару "открытый ключ–закрытый ключ" в eDirectory с использованием сервера сертификатов Novell, выполните указанные ниже действия.
Далее описано создание пар ключей в eDirectory и экспорт открытого и закрытого ключей, а также ключа корневой сертифицирующей организации с помощью файла PKCS#12 на платформе Linux. Сюда входит изменение файла конфигурации Tomcat server.xml для использования директивы PKCS12 и указания в конфигурации настоящего расположения файла P12 вместо использования хранилища ключей JKS по умолчанию.
В этом процессе используются указанные ниже файлы.
Пара временных ключей находится в файле /var/opt/novell/novlwww/.keystore.
Доверенные корни содержатся в файле /opt/novell/jdk1.7.0_25/jre/lib/security/cacerts.
Файл конфигурации, описывающий использование сертификатов Tomcat, находится по адресу /etc/opt/novell/tomcat7/server.xml.
Создайте сертификат сервера с помощью iManager.
В iManager в меню выберите пункт . Выберите необходимый сервер, укажите мнемоническое имя и примите остальные параметры сертификата по умолчанию.
Выполните экспорт сертификата сервера в домашний каталог Тomcat ( /var/opt/novell/novlwww). В iManager в меню выберите пункт . Найдите и выберите объект управления знаниями на предприятиях. На вкладке выберите пункт . Укажите пароль и сохраните сертификат сервера как файл PKCS#12 ( .pfx).
Преобразуйте файл .pfx в формат .pem.
Для этого в командной строке введите следующую команду:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Введите пароль сертификата, заданный при выполнении действия Шаг 2, и укажите пароль для нового файла .pem. При желании можно использовать тот же пароль.
Преобразуйте файл .pem в формат .p12.
Для этого в командной строке введите следующую команду:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Введите пароль сертификата, заданный при выполнении действия Шаг 3, и укажите пароль для нового файла .p12. При желании можно использовать тот же пароль.
Введите следующую команду, чтобы остановить Tomcat:
/etc/init.d/novell-tomcat7 stop
Отредактируйте файл конфигурации сервера Tomcat ( /etc/opt/novell/tomcat7.0.42/server.xml), добавив переменные keystoreType, keystoreFile и keystorePass, чтобы сервер Tomcat мог использовать новый файл сертификата в формате .p12. Например:
<Connector className="org.apache.coyote.tomcat7.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
ПРИМЕЧАНИЕ.При установке PKCS12 в качестве типа хранилища ключей необходимо указывать полный путь к файлу сертификата, так как сервер Tomcat при этом не использует домашний каталог.
Измените владельца файла .p12 на соответствующих пользователя или группу Tomcat (как правило, novlwww) и установите следующие права на файл: user=rw, group=rw и others=r. Например:
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Введите следующую команду, чтобы перезапустить Tomcat:
/etc/init.d/novell-tomcat7 start
Далее описано создание ключей в eDirectory и экспорт открытого ключа, закрытого ключа и ключа корневой сертифицирующей организации с использованием файла PKCS#12 на платформе Windows. Сюда входит изменение файла конфигурации Tomcat server.xml для использования директивы PKCS12 и указания в конфигурации настоящего расположения файла P12 вместо использования хранилища ключей JKS по умолчанию.
Ниже перечислены файлы, используемые в данной процедуре, и каталоги, в которых они расположены по умолчанию.
Пара временных ключей: C:\Program Files\Novell\Tomcat\conf\ssl\. keystore.
Сертификаты доверенных корней: C:\Program Files\Novell\jre\lib\security\cacerts.
Файл конфигурации, описывающий использование сертификатов Tomcat: C:\Program Files\Novell\Tomcat\conf\server.xml
Создайте сертификат сервера с помощью iManager.
В iManager в меню выберите пункт . Выберите необходимый сервер, укажите мнемоническое имя и примите остальные параметры сертификата.
Выполните экспорт сертификата сервера. В iManager в меню выберите пункт . Выберите объект управления знаниями на предприятиях. На вкладке выберите пункт . Укажите пароль и сохраните сертификат сервера как файл PKCS#12 ( .pfx).
Преобразуйте файл .pfx в формат .pem.
ПРИМЕЧАНИЕ.По умолчанию Openssl не устанавливается в Windows. Версия для ОС Windows доступна на веб-сайте Openssl. Можно также преобразовать сертификат на компьютере с Linux, где Openssl устанавливается по умолчанию.
Для этого в командной строке введите следующую команду:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Введите пароль сертификата, заданный при выполнении действия Шаг 2, и укажите пароль для нового файла .pem. При желании можно использовать тот же пароль.
Преобразуйте файл .pem в формат .p12.
Для этого в командной строке введите следующую команду:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Введите пароль сертификата, заданный при выполнении действия Шаг 3, и укажите пароль для нового файла .p12. При желании можно использовать тот же пароль.
Скопируйте файл .p12 в каталог сертификата Tomcat.
По умолчанию это каталог C:\Program Files\Novell\Tomcat\conf\ssl\.
Остановите сервис Tomcat.
/etc/init.d/novell-tomcat7 stop
Отредактируйте файл сервера Tomcat server.xml, добавив переменные keystoretype, keystorefile и Keystorepass, чтобы сервер Tomcat смог использовать новый файл сертификата в формате .p12. Например:
<Connector className="org.apache.coyote.tomcat7.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
При установке PKCS12 в качестве типа хранилища ключей необходимо указывать полный путь к файлу сертификата, так как сервер Tomcat при этом не использует домашний каталог.
Запустите сервис Tomcat.