Hoe kan ik zelfondertekende certificaten installeren?
Zelfondertekende (interne CA) SSL-certificaten voor ADSelfService Plus kunnen worden toegepast in vijf stappen. Het zijn:
Stap 1: SSL inschakelen in ADSelfService Plus
- Meld aan in ADSelfService Plus met beheerdersreferenties.
- Navigeer naar het tabblad Beheer → Productinstellingen → Verbinding.[Zie afbeelding]
- Schakel het selectievakje SSL-Poort [HTTPS] inschakelen in.
- Klik op Opslaan en start ADSelfService Plus opnieuw.
- Opmerking: De standaardpoort voor de https-verbinding in onze toepassing is 9251.
Stap 2: Een CSR-bestand genereren
- Start ADSelfService Plus en meld aan als beheerder.
- Ga opnieuw naar Beheerder → Productinstellingen → Verbinding.
- Klik op de knop Hulpprogramma SSL-certificaat.
- Voer alle verplichten velden in op de pagina SSL hulpprogramma & handleiding die wordt geopend. [Zie afbeelding]
- Geef een waarde op in dagen voor de geldigheid van de certificaten (optioneel).
- Werk de waarde voor Lengte van openbare sleutel bij naar 2048 bits (aanbevolen).
- Klik op CSR genereren.
- Er worden twee bestanden, nl. SelfService.csr en SelfService.keystore gemaakt.
- Opmerking: De twee bestanden worden op verschillende locaties gemaakt.
- SelfService.csr op <installation directory>webapps\adssp \Certficates\SelfService.csr
- SelfService.keystore op <installation directory>jre\bin
Stap 3: Stuur de CSR naar uw certificeringsinstantie
- Meld aan bij Microsoft Certificate Services (https:\\server-name\certsrv).
- Klik op Een certificaat aanvragen → Geavanceerde certificaataanvraag.Zie afbeelding]
- Klik op Een certificaataanvraag indienen door een met base-64 gecodeerd CMC- of PKCS #10-bestand te gebruiken of dien een verlengingsaanvraag in door een met base-64 gecodeerd PKCS #7-bestand te gebruiken.
- Plak de inhoud van het bestand SelfService.csr in het veld Aanvraag verzenden.[Zie afbeelding]
- Het is altijd aanbevolen het CSR-bestand te openen vanaf de systeemeigen locatie met een teksteditor in plaats van het te openen vanaf een browser.
- Wanneer u de inhoud van het bestand SelfService.csr kopieert, moet u controleren of er geen extra ruimte vanaf het einde van het bestand er samen mee wordt gekopieerd.
- Stel de certificaatsjabloon in als webserver en klik op Verzenden.
- Selecteer de gecodeerd DER op de pagina Certificaat is verleend. [Zie afbeelding]
- Klik op Certificaat downloaden om het certificaat te downloaden in de CER-bestandsindeling.
- Klik op Certificaatketen downloaden om het certificaten te downloaden in de P7B-bestandsindeling,
- Plaats de certificaatbestanden in <Install Directory>\jre\bin.
- Opmerking: Converteer uw certificaat van CER- naar P7B-formaat. Volg de hier opgegeven stappen.
Stap 4: Importeer de door CA ondertekende interne certificaten toe aan de keystore
- Open een opdracht met verhoogde bevoegdheid en navigeer naar <Installatiemap>\jre\bin.
- Maak een back-up van het bestand SelfService.keystore.
- Voer de volgende opdracht uit om het interne certificaat te importeren naar het keystore-bestand:
- Keytool -import -alias tomcat -trustcacerts -file certnew.p7b -keystore selfservice.keystore
- Voer de volgende opdracht uit om het basisbestand van de interne CA toe te voegen aan de lijst van vertrouwde CA's in het Java cacerts-bestand:
- keytool -import -alias tomcat -keystore ..\lib\security\cacerts -file certnew.cer
- Opmerking: Gebruik "changeit" als het wachtwoord wanneer u het ketencertificaat installeert.
Stap 5: Bind het certificaat met ADSelfService Plus
- Kopieer het bestand SelfService.Keystore naar <Install Directory>\conf.
- Maak een back-up van de bestanden server.xml en web.xml.
- Bewerk het bestand server.xml (in <Install Directory>\conf) door de waarden van de volgende SSL-connectortags te vervangen:
- "keystoreFile" met "./conf/SelfService.keystore".
- "keystorePass" met het wachtwoord dat u hebt ingevoerd tijdens het genereren van CSR-.
- Bijvoorbeeld: <Connector SSLEnabled="true" acceptcount="100" clientauth="false" connectiontimeout="20000" debug="0" disableuploadtimeout="true" enablelookups="false" keystorefile="./conf/selfservice.keystore" keystorepass="keystore_password" maxsparethreads="75" maxthreads="150" minsparethreads="25" name="SSL" port="9251" scheme="https" secure="true" sslprotocol="TLS" sslprotocols="TLSv1,TLSv1.1,TLSv1.2"> <connector>
- Start ADSelfService Plus opnieuw op en controleer of de certificaten correct zijn geïnstalleerd.