Samostatné inštalácie aplikácie iManager obsahujú dočasný certifikát s vlastným podpisom, ktorý je určený na používanie službou Tomcat. Jeho platnosť uplynie po jednom roku. NetIQ vám poskytuje tento certifikát ako pomôcku pri uvedení systému do prevádzky, aby ste aplikáciu iManager mohli bezpečne používať ihneď po inštalácii produktu. NetIQ a OpenSSL neodporúčajú používať certifikáty s vlastným podpisom na iné než testovacie účely. Dočasný certifikát by ste preto mali nahradiť zabezpečeným certifikátom.
Služba Tomcat ukladá certifikát s vlastným podpisom v ukladacom priestore kľúčov, ktorý používa formát súboru služby Tomcat (JKS). Za normálnych okolností by ste na nahradenie certifikátu naimportovali súkromný kľúč. Nástroj keytool, ktorý používate na úpravu ukladacieho priestoru kľúčov služby Tomcat, však súkromný kľúč nemôže importovať. Tento nástroj používa iba samogenerovaný kľúč.
V tejto časti sa vysvetľuje, ako v službe eDirectory vygenerovať pár tvorený verejným a súkromným kľúčom pomocou certifikačného servera NetIQ a nahradiť dočasný certifikát. Ak používate službu eDirectory, certifikáty môžete bezpečne a bez ďalších investícií generovať, sledovať, ukladať a rušiť pomocou certifikačného servera NetIQ.
POZNÁMKA:Informácie v tejto časti sa nevzťahujú na server OES Linux, ktorý inštaluje službu Tomcat aj Apache. Informácie o nahradení certifikátu s vlastným podpisom pre služby Tomcat a Apache obsahuje dokumentácia servera OES Linux.
V tejto časti sa popisuje, ako vytvoriť pár kľúčov v službe eDirectory a ako exportovať verejný kľúč, súkromný kľúč a kľúč koreňového certifikačného úradu so súborom PKCS#12 na platforme Linux. Ak chcete používať direktívu PKCS12 a namiesto používania predvoleného ukladacieho priestoru kľúčov JKS chcete konfiguráciu nasmerovať na skutočný súbor P12, musíte upraviť aj konfiguračný súbor server.xml služby Tomcat.
V postupe sa používajú tieto súbory:
/var/opt/novell/novlwww/.keystore, v ktorom je uložený dočasný pár kľúčov
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts, v ktorom sú uložené dôveryhodné koreňové certifikáty
/etc/opt/novell/tomcat8/server.xml, ktorý sa používa na konfiguráciu používania certifikátov službou Tomcat
Nahradenie certifikátov s vlastným podpisom v systéme Linux:
Ak chcete vytvoriť nový certifikát, vykonajte nasledujúce kroky:
Prihláste sa do aplikácie iManager.
Kliknite na položku Certifikačný server NetIQ > Vytvoriť certifikát servera.
Vyberte príslušný server.
Zadajte pre server prezývku.
Akceptujte ostatné predvolené hodnoty certifikátu.
Ak chcete exportovať certifikát servera do domovského adresára servera Tomcat, vykonajte nasledujúce kroky:
V aplikácii iManager vyberte položku Správa adresárov > Upraviť objekt.
Vyhľadajte a vyberte objekt KMO (Key Material Object).
Kliknite na položku Certifikáty > Exportovať.
Určite heslo.
Uložte certifikát servera ako súbor vo formáte PKCS#12 (.pfx) v adresári /var/opt/novell/novlwww.
Ak chcete súbor .pfx skonvertovať na súbor .pem, dokončite nasledujúce kroky:
Zadajte príkaz, napríklad openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Určite pre certifikát rovnaké heslo, ako ste určili v Krok 2.
Určite heslo pre nový súbor .pem.
Ak chcete, môžete použiť to isté heslo.
Ak chcete súbor .pem skonvertovať na súbor .p12, vykonajte nasledujúce kroky:
Zadajte príkaz, napríklad openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "Nový Tomcat".
Určite pre certifikát rovnaké heslo, ako ste určili v Krok 3.
Určite heslo pre nový súbor .p12.
Ak chcete, môžete použiť to isté heslo.
Ak chcete zastaviť službu Tomcat, zadajte nasledujúci príkaz:
/etc/init.d/novell-tomcat8 stop
Ak chcete zabezpečiť, aby Tomcat používal novo vytvorený súbor certifikátu .p12, pridajte premenné keystoreType, keystoreFile a keystorePass do konfiguračného súboru služby Tomcat – predvolene je to súbor /etc/opt/novell/tomcat8.0.22/server.xml. Príklad:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
POZNÁMKA:Pri nastavovaní typu ukladacieho priestoru kľúčov na hodnotu PKCS12 musíte zadať celú cestu k súboru s certifikátom, pretože služba Tomcat už nebude používať svoju predvolenú domovskú cestu.
Ak chcete zabezpečiť, aby súbor certifikátu .p12 fungoval správne, vykonajte nasledujúce kroky:
Zmeňte vlastníctvo súboru na príslušného používateľa/skupinu služby Tomcat – predvolene novlwww. Napríklad chown novlwww:novlwww newtomcert.p12.
Zmeňte povolenia pre súbor na user=rw, group=rw a others=r. Napríklad chmod 654 newtomcert.p12.
Ak chcete reštartovať službu Tomcat, zadajte nasledujúci príkaz:
/etc/init.d/novell-tomcat8 start
V tejto časti sa popisuje, ako vytvoriť pár kľúčov v službe eDirectory a ako exportovať verejný kľúč, súkromný kľúč a kľúč koreňového certifikačného úradu so súborom PKCS#12 na platforme Windows. Ak chcete používať direktívu PKCS12 a namiesto používania predvoleného ukladacieho priestoru kľúčov JKS chcete konfiguráciu nasmerovať na skutočný súbor P12, musíte upraviť aj konfiguračný súbor server.xml služby Tomcat.
V postupe sa používajú tieto súbory:
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, v ktorom je uložený dočasný pár kľúčov
C:\Program Files\Novell\jre\lib\security\cacerts, v ktorom sú uložené dôveryhodné koreňové certifikáty
C:\Program Files\Novell\Tomcat\conf\server.xml, ktorý sa používa na konfiguráciu používania certifikátov službou Tomcat
Nahradenie certifikátov s vlastným podpisom v systéme Windows:
Ak chcete vytvoriť nový certifikát, vykonajte nasledujúce kroky:
Prihláste sa do aplikácie iManager.
Kliknite na položku Certifikačný server NetIQ > Vytvoriť certifikát servera.
Vyberte príslušný server.
Zadajte pre server prezývku.
Akceptujte ostatné predvolené hodnoty certifikátu.
Ak chcete exportovať certifikát servera, vykonajte nasledujúce kroky:
V aplikácii iManager vyberte položku Správa adresárov > Upraviť objekt.
Vyhľadajte a vyberte objekt KMO (Key Material Object).
Kliknite na položku Certifikáty > Exportovať.
Určite heslo.
Uložte certifikát servera ako súbor vo formáte PKCS#12 (.pfx).
Ak chcete súbor .pfx skonvertovať na súbor .pem, dokončite nasledujúce kroky:
POZNÁMKA:V systéme Windows sa program OpenSSL predvolene neinštaluje. Z webovej lokality OpenSSL však môžete prevziať verziu pre platformu Windows. Prípadne môžete skonvertovať certifikát z platformy Linux, na ktorej je program OpenSSL predvolene nainštalovaný. Ďalšie informácie o používaní systému Linux na skonvertovanie tohto súboru nájdete v časti Sekcia 3.1, Nahradenie dočasných certifikátov s vlastným podpisom pre aplikáciu iManager.
Zadajte príkaz, napríklad openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Určite pre certifikát rovnaké heslo, ako ste určili v Krok 2.
Určite heslo pre nový súbor .pem.
Ak chcete, môžete použiť to isté heslo.
Ak chcete súbor .pem skonvertovať na súbor .p12, vykonajte nasledujúce kroky:
Zadajte príkaz, napríklad openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "Nový Tomcat".
Určite pre certifikát rovnaké heslo, ako ste určili v Krok 3.
Určite heslo pre nový súbor .p12.
Ak chcete, môžete použiť to isté heslo.
Skopírujte súbor .p12 do umiestnenia certifikátov služby Tomcat – predvolene C:\Program Files\Novell\Tomcat\conf\ssl\.
Ak chcete zastaviť službu Tomcat, zadajte nasledujúci príkaz:
/etc/init.d/novell-tomcat8 stop
Ak chcete zabezpečiť, aby služba Tomcat používala novo vytvorený súbor certifikátu .p12, pridajte do súboru služby Tomcat server.xml premenné keystoreType, keystoreFile a keystorePass. Príklad:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Pri nastavovaní typu ukladacieho priestoru kľúčov na hodnotu PKCS12 musíte zadať celú cestu k súboru s certifikátom, pretože služba Tomcat už nebude používať svoju predvolenú domovskú cestu.
Spustite službu Tomcat.