Procedura di abilitazione di SSL
Active Directory Audit » Procedura di abilitazione di SSL
 

Procedura di abilitazione di SSL

Questa procedura di permette di abilitare SSL in ADAudit Plus.

Passo 1: Definisci la porta SSL

  • Effettua l'accesso a ADAudit Plus con un account che abbia privilegi da amministratore.
  • Vai a Amministrazione > Impostazioni generali > Connessione.
  • Seleziona la casella Abilita la porta SSL [https]. Il numero di porta predefinito, 8444, è selezionato automaticamente.
  • Fai clic su Salva le modifiche.
  • Riavvia ADAudit Plus affinché le modifiche abbiano effetto.

Nota: Se vuoi installare un certificato PFX o PKCS #12, vai alla sezione del formato PFX o PKCS 12 al Passo 5.

Steps for enabling SSL

Passo 2: Crea l'archivio delle chiavi

Un archivio delle chiavi è un file protetto da password che contiene tutte le chiavi che il server utilizza per le transazioni SSL.

  • Per creare un file di archivio delle chiavi dei certificati e generare le chiavi di crittografia, esegui il prompt dei comandi come amministratore, vai a <cartella di installazione del prodotto>\jre\bin ed esegui il seguente comando:

    keytool -genkey -alias tomcat -keyalg RSA -validity 1000 -keystore <domainName>.keystore

    Sostituisci <nome del dominio> con il nome del tuo dominio.

  • Digita la password del tuo archivio delle chiavi.
  • Inserisci le informazioni in base a queste linee guida:
    Quali sono i tuoi nome e cognome? Inserisci il nome della macchina o il nome del dominio pienamente qualificato del server su cui è in esecuzione ADAudit Plus.
    Qual è il nome della tua unità organizzativa? Inserisci il nome del dipartimento che vuoi far apparire nel certificato.
    Qual è il nome della tua organizzazione? Inserisci il nome legale della tua organizzazione.
    Qual è il nome della tua città o località? Inserisci il nome della città In base alle informazioni fornite dall’indirizzo registrato della tua organizzazione.
    Qual è il nome del tuo stato o provincia? Inserisci lo stato o la provincia in base alle informazioni fornite dall’indirizzo registrato della tua organizzazione.
    Qual è il codice a due lettere della nazione per questa unità? Inserisci Il codice a due lettere della nazione in cui si trova la tua organizzazione.
    Inserisci la password della chiave per <tomcat> Inserisci la stessa password come password dell'archivio delle chiavi.
    Nota: Se scegli di inserire una password diversa, scrivila; la password della chiave ti verrà richiesta più tardi.
Steps for enabling SSL

Passo 3: Genera una richiesta di firma del certificato (Certificate Signing Request, CSR)

Per creare una richiesta di firma del certificato con un nome alternativo del soggetto (SAN), esegui il seguente comando nel prompt dei comandi:

keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:server_name,dns:server_name.domain.com,dns:server_name.domain1.com -keystore <domainName>.keystore -file <domainName>.csr

Sostituisci <nome del dominio> con il nome del tuo dominio e inserisci i nomi alternativi dei soggetti come mostrato nell'immagine più in basso:

Steps for enabling SSL

Passo 4: Emetti il certificato SSL

In questo passo, ti colleghi a un ente certificatore, invii la richiesta di firma del certificato e ottieni il certificato SSL emesso.

A. Emetti il certificato SSL utilizzando un ente certificatore esterno

  • Per richiedere un certificato a un ente certificatore esterno, invia la richiesta di firma del certificato. Puoi individuare il file della richiesta di firma del certificato nella cartella <cartella di installazione del prodotto>\jre\bin.
  • Estrai i certificati che ti vengono inviati dall'ente certificatore e mettili nella cartella <cartella di installazione del prodotto>\jre\bin.

Nota: Dopo che il certificato SSL viene emesso dall'ente certificatore esterno, vai al Passo 5 per installarlo.

B. Emetti il certificato SSL utilizzando un ente certificatore interno

Un ente certificatore interno è un server membro o un controller di dominio in un determinato dominio a cui è stato assegnato il ruolo di ente certificatore.

  • Collegati ai Servizi dei certificati di Microsoft Active Directory del tuo ente certificatore interno e fai clic sul link Richiedi un certificato. Steps for enabling SSL
  • Nella pagina di richiesta del certificato, fai clic sul link di richiesta avanzata del certificato. Steps for enabling SSL
  • Nella pagina di invio della richiesta del certificato o della richiesta di rinnovo, copia il contenuto dal tuo file di richiesta di firma del certificato e incollalo nel campo Richiesta salvata.
  • Seleziona Server web o il modello appropriato per Tomcat in Modello del certificato e fai clic su Invia. Steps for enabling SSL
  • Il certificato viene emesso quando fai clic sul link Scarica la catena del certificato. Il certificato scaricato sarà in formato P7B. Steps for enabling SSL
  • Copia il file P7B nella cartella <cartella di installazione del prodotto>\jre\bin.

Passo 5: Importa il certificato

Segui la procedura indicata di seguito corrispondente al formato in cui vuoi importare il certificato.

A. Formato privacy-enhanced mail (PEM)

Per importare il certificato nel file dell’archivio delle chiavi in formato PEM, apri il prompt dei comandi, vai a <cartella di installazione del prodotto>\jre\bin ed esegui i comandi dell'elenco più in basso in base al tuo ente certificatore.

Comandi generali

  • keytool -importcert -alias root -file <root.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
  • keytool -importcert -alias intermediate -file <intermediate.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
  • keytool -importcert -alias intermediat2 -file <intermediat2.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
  • keytool -importcert -alias tomcat -file <server.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts

Comandi specifici per fornitore

Per i certificati GoDaddy

  • keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
  • keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
  • keytool -import -alias intermed -keystore <domainName>.keystore -trustcacerts -file gd_intermed.crt
  • keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.crt

Per i certificati Verisign

  • keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
  • keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.cer

Per i certificati Comodo

  • keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
  • keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
  • keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <domainName>.keystore
  • keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore

Per i certificati Entrust

  • keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts -file entrust_root.cer
  • keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> - trustcacerts -file entrust_2048_ssl.cer
  • keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domainName.cer>/li>

Per i certificati acquistati mediante il canale del rivenditore Thawte

  • keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
  • keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <keystore-name.keystore>
  • keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>
Una volta installato il certificato, vai al Passo 6 per associare il certificato a ADAudit Plus.

Nota: Se ricevi i certificati da un ente certificatore che non è nell'elenco in alto, contatta il tuo ente certificatore per ottenere i comandi necessari per aggiungere i certificati all'archivio delle chiavi.

B. Formato P7B o PKCS #7

Per importare il certificato nel file di archivio delle chiavi in formato P7B o PKCS #7, apri il prompt dei comandi, vai a <cartella di installazione del prodotto>\jre\bin ed esegui il seguente comando:

keytool -import -trustcacerts -alias tomcat -file certnew.p7b -keystore <keystore_name>.keystore
Una volta installato il certificato, vai al Passo 6 per associare il certificato a ADAudit Plus.

C. Formato PFX o PKCS #12

  • Copia e salva il tuo file PFX o PKCS #12 nella cartella <cartella di installazione del prodotto>\conf.
  • Apri il file server.xml nella cartella <cartella di installazione del prodotto>\conf con un editor di testo locale. Crea un backup del file server.xml esistente nel caso tu voglia ripristinarlo.
  • Vai alla fine del file server.xml e cerca i tag di connessione che contengono <Connettore ... SSLEnabled="true"/>.
  • Modifica i seguenti valori all'interno dei tag di connessione senza modificare altri valori; maiuscole e minuscole sono diverse.
    keystoreFile="./conf/<YOUR_CERT_FILE.pfx>"
    keystorePass="<YOUR_PASSWORD>"
    keystoreType="PKCS12"

    Per esempio: <Connector name="SSL" port="8449" minSpareThreads="25" maxThreads="150" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" debug="0" connectionTimeout="20000" acceptCount="100" URIEncoding="UTF-8" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" secure="true" scheme="https" keystorePass="<YOUR_PASSWORD>" keystoreFile="./conf/<YOUR_CERT_FILE.pfx>" keystoreType="PKCS12" clientAuth="false" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" SSLEnabled="true"/>

  • Riavvia ADAudit Plus.

Nota: Dopo aver installato il file del certificato PFX o PKCS #12 e aver riavviato ADAudit Plus, salta il Passo 6.

Passo 6: Associa i certificati a ADAudit Plus

  • Copia il file <nome del dominio>.keystore dalla cartella <cartella di installazione del prodotto>\jre\bin e incollalo nella cartella <cartella di installazione del prodotto>\conf.
  • Apri il file server.xml nella cartella <cartella di installazione del prodotto>\conf con un editor di testo locale. Crea un backup del file server.xml esistente nel caso tu voglia ripristinarlo.
  • Vai alla fine del file server.xml e cerca i tag di connessione che contengono <Connettore ... SSLEnabled="true"/>.
  • Modifica i seguenti valori all'interno dei tag di connessione; maiuscole e minuscole sono diverse.
    • Sostituisci il valore di keystoreFile con "./conf/<nome del dominio>.keystore".
    • Sostituisci il valore di keystorePass con la password dell'archivio delle chiavi che hai utilizzato durante la generazione della richiesta di firma del certificato per questo file di certificato.

      Nota: Se vuoi modificare le versioni TLS e l'attributo di crittografia, consulta la nostra guida al rafforzamento della sicurezza.

    • Salva il file server.xml e chiudilo.
    • Riavvia di nuovo ADAudit Plus affinché le modifiche abbiano effetto.