Как установить SSL-сертификат в ADManager Plus?

• Шаг 1. Включите SSL в клиенте ADManager Plus

  1. Войдите в ADManager Plus, перейдите на вкладку Администрирование и щелкните раздел Подключение.
  2. Установите флажок Включить SSL. Номер порта 8443 выбирается автоматически.
  3. Нажмите Сохранить изменения и перезагрузите продукт, чтобы изменения вступили в силу.

• Шаг 2. Сгенерируйте запрос на создание сертификата (CSR)

  1. Остановить ADManager Plus
     • Если продукт работает как приложение, нажмите Пуск > Все программы > ADManager Plus > Остановить ADManager Plus.
     • Если продукт работает как служба Windows, нажмите Пуск > Выполнить. Введите services.msc и остановите ManageEngine ADManager Plus.
  2. Откройте командную строку и перейдите в папку <каталог_установки>\ManageEngine\ADManager Plus\jre\bin.
  3. Выполните следующую команду для создания хранилища ключей.

     keytool -genkey -alias tomcat -keypass <пароль_для_ключа> -keyalg RSA -validity 1000 -keystore <имя_домена>.keystore

     Замените <пароль_для_ключа> паролем по вашему выбору. Замените <имя_домена> именем вашего домена.

  4. Введите пароль хранилища ключей. Чтобы избежать путаницы, попробуйте ввести тот же пароль, что и пароль для ключа.
  5. Будет предложено ответить на следующие вопросы:

     №.	Вопрос	Ответ
     1.	Как вас зовут (имя и фамилия)?	Введите имя NetBIOS или полное доменное имя сервера, на котором настроен ADManager Plus.
     2.	Как называется ваше подразделение?	Введите название подразделения.
     3.	Как называется ваша организация?	Укажите официальное название вашей организации.
     4.	Как называется ваш город или населенный пункт?	Введите название города, как указано в юридическом адресе организации.
     5.	Как называется ваша область или край?	Введите название области или края, как указано в юридическом адресе организации.
     6.	Какой двухбуквенный код страны этого подразделения?	Укажите двухбуквенный код страны, где находится организация.

  6. По тому же пути выполните следующую команду, чтобы создать CSR с альтернативным именем субъекта (SAN).

     keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:server_name,dns:server_name.domain.com,dns:server_name.domain1.com -keystore <имя_домена>.keystore -file <имя_домена>.csr

     Замените <имя_домена> именем вашего домена и укажите соответствующие альтернативные имена субъектов.

• Шаг 3. Выдайте SSL-сертификат

  1. Выдайте SSL-сертификат с помощью внутреннего центра сертификации.

     Внутренний центр сертификации - это рядовой сервер или контроллер домена в определенном домене, которому назначена роль центра сертификации.

     1. Подключитесь к службам сертификации Microsoft внутреннего центра сертификации и нажмите ссылку Запросить сертификат.

        

     2. Нажмите Расширенный запрос сертификата и выберите параметр Отправить сертификат с помощью файла CMC или PKCS #10 в кодировке Base-64 или отправить запрос на продление с помощью файла PKCS #7 в кодировке Base-64.

        

     3. Скопируйте содержимое файла CSR и вставьте его в поле Сохраненный запрос.
     4. Выберите веб-сервер в качестве шаблона сертификата и нажмите Отправить.

        

     5. Нажмите ссылку Загрузить цепочку сертификатов, чтобы загрузить выданные типы сертификатов PKCS #7. Загруженный файл сертификат будет иметь формат P7B.
     6. Скопируйте и вставьте этот файл P7B в папку <каталог_установки>\ManageEngine\ADManager Plus\jre\bin.
     7. Вернитесь к службам сертификации Microsoft и нажмите ссылку Главная в правом верхнем углу страницы.
     8. Выберите ссылку Загрузить сертификат ЦС, цепочку сертификатов или CRL, чтобы загрузить сертификат корневого ЦС.
     9. Нажмите ссылку Загрузить сертификат ЦС, чтобы загрузить и сохранить корневой сертификат в формате CER.
     10. Скопируйте и вставьте файл CER в папку <каталог_установки>\ManageEngine\ADManager Plus\jre\bin.
     11. Откройте командную строку, перейдите в папку <каталог_установки>\ManageEngine\ADManager Plus\jre\bin и выполните следующий запрос для импорта внутреннего сертификата ЦС в файл KEYSTORE.

         Keytool -import -trustcacerts -alias tomcat -file certnew.p7b -keystore <имя_хранилища_ключей>.keystore

         Замените<имя_хранилища_ключей> именем вашего хранилища ключей.

     12. По тому же пути выполните следующий запрос, чтобы добавить корневой сертификат внутреннего центра сертификации в список доверенных центров сертификации в файле Java cacerts.

         keytool -import -alias <имя_внутреннего_ЦС> -keystore ..\lib\security\cacerts -file certnew.cer

         Примечание: Откройте файл CER, чтобы получить имя внутреннего центра сертификации. При появлении запроса укажите changeit в качестве пароля хранилища ключей.

  2. Выдайте SSL-сертификат с помощью внешних центров сертификации.
     1. Чтобы запросить сертификат у внешнего центра сертификации, отправьте CSR в этот центр сертификации.
     2. Разархивируйте сертификаты, возвращенные вашим центром сертификации, и поместите их в папку <каталог_установки>\ManageEngine\ADManager Plus\jre\bin
     3. Откройте командную строку и перейдите в папку <каталог_установки>\ManageEngine\ADManager Plus\jre\bin
     4. Выполните соответствующие команды из приведенного списка в соответствии с ЦС:
        1. Для сертификатов GoDaddy
           1. keytool -import -alias root -keystore <имя_домена>.keystore -trustcacerts -file gdrootg2.crt
           2. keytool -import -alias cross -keystore <имя_домена>.keystore -trustcacerts -file gdrootg2_cross.crt
           3. keytool -import -alias intermed -keystore <имя_домена>.keystore -trustcacerts -file gdig2.crt

           Для получения дополнительной информации нажмите здесь.

        2. Для сертификатов Verisign
           1. keytool -import -alias intermediateCA -keystore <имя_домена>.keystore -trustcacerts -file <промежуточный_сертификат.cer>
           2. keytool -import -alias tomcat -keystore <имя_домена>.keystore -trustcacerts file admanager.cer
        3. Для сертификатов Sectigo (ранее - Comodo CA)
           1. keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <имя_домена>.keystore
           2. keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <имя_домена>.keystore
           3. keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt - keystore <имя_домена>.keystore
           4. keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <имя_домена>.keystore

           Для получения дополнительной информации нажмите здесь.

        4. Для сертификатов Entrust
           1. keytool -import -alias Entrust_L1C -keystore <имя_хранилища_ключей.keystore> -trustcacerts file entrust_root.cer
           2. keytool -import -alias Entrust_2048_chain -keystore <имя_хранилища_ключей.keystore> - trustcacerts -file entrust_2048_ssl.cer
           3. keytool -import -alias -keystore <имя_хранилища_ключей.keystore> -trustcacerts -file <имя_домена.cer>

           Для получения дополнительной информации нажмите здесь.

        5. Для сертификатов Thawte
           1. Приобретенных напрямую у Thawte:

              keytool -import -trustcacerts -alias tomcat -file <имя_сертификата.p7b> -keystore <имя_хранилища_ключей.keystore>

           2. Приобретенных через реселлеров Thawte:
              1. keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <имя_хранилища_ключей.keystore>
              2. keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <имя_хранилища_ключей.keystore>
              3. keytool -import -trustcacerts -alias tomcat -file <имя_сертификата.cer> -keystore <имя_хранилища_ключей.keystore>

  Примечание: Если вы используете внешний центр сертификации, которого нет в вышеуказанном списке, обратитесь в свой центр сертификации для получения необходимых команд.

• Шаг 4. Свяжите SSL-сертификат с ADManager Plus

  1. Скопируйте файл KEYSTORE из папки <каталог_установки>\ManageEngine\ADManager Plus\jre\bin и вставьте его в папку <каталог_установки>\ManageEngine\ADManager Plus\conf.
  2. В папке <каталог_установки>\ManageEngine\ADManager Plus\conf найдите файл server.xml и создайте резервную копию этого файла.
  3. Откройте файл server.xml с помощью редактора и перейдите к последнему тегу соединителя.
  4. Замените значение файла хранилища ключей на местоположение вашего хранилища ключей ('./conf/<имя_хранилища_ключей>.keystore).
  5. Замените значение параметра keystorePass на пароль, указанный во время создания хранилища ключей.
  6. Сохраните файл server.xml и запустите ADManager Plus.
     • Если продукт работает как приложение, нажмите Пуск > Все программы > ADManager Plus > Запустить ADManager Plus.
     • Если продукт работает как служба Windows, нажмите Пуск > ADManager Plus > Установить службу ADMP.
  7. После запуска службы ADManager Plus запустите клиент ADManager Plus.

чтобы загрузить руководство по установке SSL-сертификата в ADManager Plus. В этом видео показано, как установить SSL-сертификат в ADManager Plus с помощью внутреннего центра сертификации (ЦС).