Instalacja certyfikatu protokołu SSL w ADManager Plus

• Krok 1: Włącz SSL w interfejsie WWW ADManager Plus

  1. Zaloguj się do ADManager Plus, kliknij kartę Admin i kliknij obszar Connection.
  2. Zaznacz opcję Enable SSL. Numer portu 8443 jest wybierany automatycznie.
  3. Kliknij Save Changes i uruchom ponownie produkt, aby zmiany zaczęły obowiązywać.

• Krok 2: Utwórz żądanie podpisania certyfikatu (CSR)

  1. Zatrzymaj ADManager Plus (Start →All Programs → ADManager Plus → Stop ADManager Plus )
  2. Otwórz wiersz poleceń i przeglądaj ścieżkę <installation_directory>\ManageEngine\ADManager Plus\jre\bin path.
  3. Wykonaj następujące polecenie, aby utworzyć magazyn kluczy.

     keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName> .keystore

     d. Zastąp <your key password> wybranym przez siebie hasłem. Zamień <Domain name> na nazwę swojej domeny.

  4. Wpisz hasło do magazynu kluczy. Aby uniknąć pomyłek, spróbuj podać to samo hasło, co „your key password”.

     Wyświetli się monit z prośbą o odpowiedź na następujące pytania:

     Numer serii	Pytanie	Odpowiedź
     1.	Jak masz na imię i nazwisko?	Wprowadź NetBIOS lub FQDN serwera, w którym skonfigurowano ADManager Plus.
     2.	Jak nazywa się jednostka organizacyjna?	Wprowadź nazwę wybranej jednostki organizacyjnej.
     3.	Jak nazywa się Twoja organizacja?	Podaj nazwę prawną organizacji.
     4.	Jak nazywa się Twoje miasto lub miejscowość?	Podaj nazwę miasta lub miejscowości podaną w adresie siedziby organizacji.
     5.	Jak nazywa się Twój region lub Twoje województwo?	Wprowadź nazwę regionu lub województwa podaną w adresie siedziby organizacji.
     6.	Jaki jest dwuliterowy kod kraju tej jednostki?	Wprowadź dwuliterowy kod kraju, w której jest zlokalizowana Twoja organizacja.

  5. W tej samej ścieżce wykonaj poniższe polecenie, aby utworzyć CSR z Subject Alternative Name (SAN).

     keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName> .keystore

     Zastąp <nazwę_domeny> nazwą swojej domeny i podaj odpowiednie alternatywne nazwy podmiotu.

• Krok 3: Wystaw certyfikat protokołu SSL

  1. Wystaw certyfikat protokołu SSL przy użyciu wewnętrznego CA.

     Wewnętrzny CA to serwer członkowski lub kontroler domeny w określonej domenie, któremu przypisano rolę CA.

     1. Połącz się z usługami certyfikatów Microsoft swojego wewnętrznego CA i kliknij łącze Request a Certificate.

        

     2. Kliknij 'Advanced certificate request' i wybierz opcję Submit a certificate by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.

        

     3. Skopiuj treść pliku csr i wklej ją pod polem Zapisane żądanie.
     4. Wybierz Web server jako szablon certyfikatu i kliknij Submit.

        

     5. Kliknij Download Certificate Chain, aby pobrać wystawione typy 'PKCS #7 Certificates'. Pobrany certyfikat będzie miał format pliku p7b.
     6. Skopiuj i wklej ten plik p7b w lokalizacji <installation_directory>\ManageEngine\ADManager Plus/ jre/bin location.
     7. Wróć do strony usługi certyfikatów Microsoft i kliknij łącze Home w prawym górnym narożniku strony.
     8. Kliknij Download a CA certificate, chain certificate or CRL aby pobrać certyfikat główny CA.
     9. Kliknij Download CA certificate , aby pobrać i zapisać certyfikat główny w formacie cer.
     10. Skopiuj i wklej plik cer w lokalizacji <installation_directory>\ManageEngine\ADManager Plus\jre\bin location.
     11. Otwórz wiersz poleceń, przejdź do ścieżki <installation_directory>\ManageEngine\ADManager Plus\ jre\bin a.k. i wykonaj poniższe zapytanie, aby zaimportować wewnętrzny certyfikat CA do pliku keystore.

         Keytool import trustcacerts alias tomcat file certnew.p7b keystore <keystore_name>.keystore

         Zamień <keystore_name> na nazwę swojego magazynu kluczy.

     12. W tej samej ścieżce wykonaj poniższe zapytanie, aby dodać certyfikat główny wewnętrznego CA do listy zaufanych CA w pliku Java cacerts.

         keytool -import -alias <internal CA_name> -keystore ..\lib\security\cacerts -file certnew.cer

         Uwaga: otwórz plik cer, aby pobrać nazwę swojego wewnętrznego CA. Gdy pojawi się monit, wprowadź „changeit” jako hasło do magazynu kluczy.

  2. Wystaw certyfikat protokołu SSL przy użyciu zewnętrznych CA.
     1. Aby zażądać certyfikat od zewnętrznego CA, prześlij CSR do tego CA.
     2. Rozpakuj certyfikaty zwrócone przez CA i umieść je w folderze <installation_directory>/ManageEngine/ADManager Plus/jre/bin
     3. Otwórz wiersz poleceń i przejdź do folderu <installation_directory>/ManageEngine/ADManager Plus/jre/bin
     4. Wykonaj odpowiednie polecenia z danej listy odnoszące się do danego CA:
        1. Dla certyfikatów „GoDaddy”
           1. keytool -import -alias root -keystore <domainname>.keystore -trustcacerts -file gdrootg2.crt
           2. keytool -import -alias cross -keystore <domainname>.keystore -trustcacerts -file gdrootg2_cross.crt
           3. keytool -import -alias intermed -keystore <domainname>.keystore -trustcacerts -file gdig2.crt
        2. Dla certyfikatów „Verisign”
           1. keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
           2. keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts file admanager.cer
        3. Dla certyfikatów „Comodo”
           1. keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
           2. keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
           3. keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt - keystore <domainName>.keystore
           4. keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore
        4. Dla certyfikatów Entrust
           1. keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts file entrust_root.cer
           2. keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> - trustcacerts -file entrust_2048_ssl.cer
           3. keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domain-name.cer>
        5. Dla certyfikatów Thawte
           1. Zakupionych bezpośrednio od Thawte:

              keytool -import -trustcacerts -alias tomcat -file <certificate-name.p7b> -keystore <keystore-name.keystore>

           2. Zakupionych poprzez kanał sprzedaży Thawte:
              1. keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
              2. keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <keystore-name.keystore>
              3. keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>

  Uwaga: jeśli korzystasz z zewnętrznego CA, którego nie ma na wspomnianej liście, skontaktuj się ze swoim CA w celu uzyskania wymaganych poleceń.

• Krok 4: skojarz certyfikat protokołu SSL z ADManager Plus.

  1. Skopiuj plik keystore z lokalizacji <installation_directory>\ManageEngine\ADManager Plus\jre\bin i wklej go do lokalizacji <installation_directory>\ManageEngine\ADManager Plus\conf
  2. W lokalizacji <installation_directory>\ManageEngine\ADManager Plus\conf znajdź plik server.xml i utwórz jego kopię zapasową.
  3. Otwórz plik server.xml za pomocą edytora i przejdź do ostatniego tagu łącznika.
  4. Zastąp wartość pliku magazynu kluczy lokalizacją Twojego magazynu kluczy (./conf/<keystore_name>.keystore).
  5. Zastąp wartość „keystorePass” hasłem podanym podczas tworzenia magazynu kluczy.
  6. Zapisz plik server.xml i uruchom ADManager Plus (Start →All Programs → ADManager Plus → Start ADManager Plus).
  7. Po uruchomieniu usługi ADManager Plus uruchom klienta ADManager Plus.

Kliknij tutaj, aby pobrać poradnik instalacji certyfikatu protokołu SSL w ADManager Plus. W tym filmie przedstawiono sposób instalacji certyfikatu protokołu SSL w ADManager Plus przy użyciu wewnętrznego CA.