Jak włączyć protokół SSL

Krok 1: Określ port SSL

• Zaloguj się do programu ADAudit Plus z poziomu konta z uprawnieniami administratora.
• Przejdź do obszaru Administrator > Ustawienia ogólne > Połączenie.
• Sprawdź pole Włącz port SSL [https]. Domyślny numer portu 8444 jest wybierany automatycznie.
• Kliknij przycisk Zapisz zmiany.
• Uruchom ponownie ADAudit Plus, aby zmiany zostały zastosowane.

Uwaga: Jeśli chcesz zainstalować istniejący certyfikat PFX lub PKCS #12, przejdź do sekcji Format PFX lub PKCS #12 w kroku 5.

Krok 2: Utwórz magazyn kluczy

Magazyn kluczy to plik chroniony hasłem zawierający wszystkie klucze, które serwer wykorzysta w celu realizacji transakcji SSL.

• Aby utworzyć plik magazynu kluczy certyfikatu i wygenerować klucze szyfrowania, należy uruchomić wiersz polecenia jako administrator. Przejdź do katalogu <product_installation_directory>\jre\bin, i wykonaj następujące polecenie:

  keytool -genkey -alias tomcat -keyalg RSA -validity 1000 -keystore <domainName>.keystore

  Zamień <domainName> na nazwę swojej domeny.

• Wpisz hasło do magazynu kluczy.
• Podaj informacje na podstawie następujących wytycznych:

  Jakie jest Twoje imię i nazwisko?	Podaj nazwę komputera lub w pełni kwalifikowaną nazwę domeny serwera hostującego program ADAuditPlus.
  Jak się nazywa jednostka organizacyjna?	Wprowadź nazwę oddziału, która ma być podany na certyfikacie.
  Jak się nazywa organizacja?/td>	Podaj nazwę prawną organizacji.
  Jak się nazywa Twoje miasto lub lokalizacja?	Podaj nazwę miasta podaną w adresie siedziby organizacji.
  Jak się nazywa Twój region lub województwo?	Podaj nazwę województwa podaną w adresie siedziby organizacji.
  Jaki jest dwuliterowy kod kraju dla tej jednostki?	Dwuliterowy kod kraju, w którym znajduje się organizacja.
  Podaj hasło klucza dla <tomcat>	Wprowadź takie samo hasło jak hasło do magazynu kluczy. Uwaga: Jeśli zdecydujesz się wprowadzić inne hasło, zanotuj je, ponieważ hasło klucza będzie wymagane później.

Krok 3: Wygeneruj żądanie podpisania certyfikatu (CSR)

Aby utworzyć żądanie CSR z alternatywną nazwą podmiotu (SAN), wykonaj następujące polecenie w wierszu polecenia:

Zastąp <domainName> nazwą swojej domeny i podaj odpowiednie nazwy SAN, jak pokazano na poniższym obrazku:

Krok 4: Wystawienie certyfikatu protokołu SSL

W tym kroku połączysz się z urzędem certyfikacji (CA), złożysz żądanie CSR do konkretnego CA i otrzymasz certyfikat protokołu SSL wydany wnioskodawcy.

A. Wystawienie certyfikatu protokołu SSL z wykorzystaniem zewnętrznego CA

• Aby poprosić o certyfikat od zewnętrznego urzędu certyfikacji, prześlij żądanie CSR do tego urzędu. Plik żądania CSR można zlokalizować w folderze <product_installation_directory>\jre\bin.
• Wypakuj certyfikaty odesłane przez urząd certyfikacji i umieść je w folderze <product_installation_directory>\jre\bin.

Uwaga: Po wystawieniu certyfikatu protokołu SSL przez zewnętrzny CA przejdź dokroku 5 aby zainstalować certyfikat.

B. Wystawienie certyfikatu protokołu SSL przy użyciu wewnętrznego urzędu certyfikacji (CA)

Wewnętrzny CA to serwer członkowski lub kontroler domeny w określonej domenie, któremu przypisano rolę CA.

• Połącz się z usługami certyfikatów Microsoft Active Directory swojego wewnętrznego CA i kliknij łączę Żądanie certyfikatu
• Na stronie żądania certyfikatu kliknij łącze zaawansowanego żądania certyfikatu
• Na stronie „Przesyłanie żądania certyfikatu lub żądania odnowienia” skopiuj treść z pliku żądania CSR i wklej ją do pola Zapisane żądanie
• Wybierz Serwer sieci Web lub odpowiedni szablon dla kontenera Tomcat w obszarze Szablon certyfikatu i kliknij przycisk Prześlij.
• Certyfikat zostanie wystawiony po kliknięciu na łączę Pobierz łańcuch certyfikatów. Pobrany certyfikat będzie miał format pliku P7B.
• Skopiuj plik P7B do folderu <product_installation_directory>\jre\bin.

Krok 5: Import certyfikatu

Wykonaj podane poniżej kroki, które odpowiadają formatowi, w jakim chcesz zaimportować certyfikat.

A. Format Privacy Enhanced Mail (PEM)

Aby zaimportować certyfikat do pliku magazynu kluczy w formacie PEM, otwórz wiersz polecenia, przejdź do katalogu <product_installation_directory>\jre\bin, i uruchom polecenia z poniższej listy, które dotyczą danego urzędu certyfikacji.

Polecenia ogólne

• keytool -importcert -alias root -file <root.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
• keytool -importcert -alias intermediate -file <intermediate.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
• keytool -importcert -alias intermediat2 -file <intermediat2.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
• keytool -importcert -alias tomcat -file <server.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts

Polecenia specyficzne dla dostawcy

Dla certyfikatów GoDaddy

• keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
• keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
• keytool -import -alias intermed -keystore <domainName>.keystore -trustcacerts -file gd_intermed.crt
• keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.crt

Dla certyfikatów Verisign

• keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
• keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.cer

Dla certyfikatów Comodo

• keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
• keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
• keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <domainName>.keystore
• keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore

Dla certyfikatów Entrust

• keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts -file entrust_root.cer
• keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> - trustcacerts -file entrust_2048_ssl.cer
• keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domainName.cer>/li>

Dla certyfikatów zakupionych poprzez kanał sprzedaży Thawte

• keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
• keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <keystore-name.keystore>
• keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>

Uwaga: Jeśli otrzymasz certyfikaty od urzędu certyfikacji, który nie występuje na powyższej liście, skontaktuj się ze swoim urzędem certyfikacji, aby uzyskać polecenia wymagane do dodania jego certyfikatów do magazynu kluczy.

B. Format P7B lub PKCS #7

Aby zaimportować certyfikat do pliku magazynu kluczy w formacie P7B lub PKCS #7, otwórz wiersz polecenia, przejdź do katalogu <product_installation_directory>\jre\bin i wykonaj następujące polecenie:

C. Format PFX lub PKCS #12

• Skopiuj i zapisz swój plik PFX lub PKCS #12 w folderze <product_installation_directory>\conf.
• Otwórz plik server.xml znajdujący się w folderze <product_installation_directory>\conf za pomocą lokalnego edytora tekstów. Utwórz kopię zapasową istniejącego pliku server.xml na wypadek, gdybyś zechciał go przywrócić.
• Przejdź na koniec pliku server.xml i poszukaj tagów łącznika, które zawierają <Connector ... SSLEnabled="true"/>.
• Edytuj następujące wartości (uwzględniające wielkość liter) w obrębie tagów łącznika, bez wprowadzania zmian w innych
  keystoreFile="./conf/<YOUR_CERT_FILE.pfx>"
  keystorePass="<YOUR_PASSWORD>"
  keystoreType="PKCS12"

  Na przykład: <Connector name="SSL" port="8449" minSpareThreads="25" maxThreads="150" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" debug="0" connectionTimeout="20000" acceptCount="100" URIEncoding="UTF-8" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" secure="true" scheme="https" keystorePass="<YOUR_PASSWORD>" keystoreFile="./conf/<YOUR_CERT_FILE.pfx>" keystoreType="PKCS12" clientAuth="false" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" SSLEnabled="true"/>

• Uruchom ponownie program ADAudit Plus.

Uwaga: Po zainstalowaniu pliku certyfikatu PFX lub PKCS #12 i ponownym uruchomieniu programu ADAudit Plus można pominąć krok 6.

Krok 6: Przypnij certyfikaty do ADAudit Plus

• Skopiuj plik <domainName>.keystore file from the <product_installation_directory>\jre\bin folder and paste it in the <product_installation_directory>\conf.
• Otwórz plik server.xml znajdujący się w folderze <product_installation_directory>\conf za pomocą lokalnego edytora tekstów. Utwórz kopię zapasową istniejącego pliku server.xml na wypadek, gdybyś zechciał go przywrócić.
• Przejdź na koniec pliku server.xml i poszukaj tagów łącznika, które zawierają <Connector ... SSLEnabled="true"/>.
• Zmodyfikuj następujące wartości (uwzględniające wielkość liter) w obrębie tagów łącznika.
  • Zastąp wartość keystoreFile wartością „./conf/<domainName>.keystore".
  • Zastąp wartość keystorePass hasłem magazynu kluczy, które zostało użyte podczas generowania żądania CSR tego pliku certyfikatu.

    Uwaga: Jeśli chcesz zmodyfikować atrybut wersji i szyfrów protokołu TLS, zapoznaj się z naszym przewodnikiem po wzmocnieniu zabezpieczeń.

  • Zapisz plik server.xml i zamknij go.
  • Uruchom ponownie ADAudit Plus, aby zmiany zostały zastosowane.