TvrtkaPartneri
 

NORT - Baza znanja

Kontaktirajte podršku

   
 
Pretraga Baze Znanja
Traži Opcije
Pitanja i odgovori
ESET Remote Administrator 6
Kako podesiti HTTPS/SSL konekciju za ESET Remote Administrator Web konzolu? (6.x)

 

Pitanje

  • Kada ESET Remote Administrator Web konzoli (ERA Web konzoli) pokušavate pristupiti preko HTTP protokola dobivate poruku upozorenja:
    "Using unencrypted connection! Please configure the webserver to use HTTPS".

    Zbog sigurnosnih razloga ESET preporučuje da postavite ERA Web konzolu tako da koristi HTTPS protokol.

 

Odgovor

 

Razlika između ERA vjerodajnica i Apache Tomcat vjerodajnica
 

Vjerodajnica (certifikat) za Apache Tomcat koji dozvoljava HTTPS konekciju nije povezan s ERA vjerodajnicama.
ERA vjerodajnice koriste se za sigurnu komunikaciju s ESET Remote Administrator Agentom (ERA Agent).

Upute ovdje ispod opisuju vjerodajnice za Apache Tomcat, koji se koriste za sigurne HTTPS konekcije.

 

Pojedini koraci mogu se razlikovati ovisno o operacijskom sustavu
 

Postupci koji su opisani ovdje izvedeni su na 64-bitnom Microsoft Windows Serverskom operacijskom sustavu.
Neke putanje mogu se razlikovati ovisno o operacijskom sustavu koji koristite.

 

Upotreba postojeće vjerodajnice (certifikata)

 

  1. Premjestite datoteku vjerodajnice (certifikata -> .pfx) u svoju Tomcat instalacijsku mapu.

    Prema inicijalnim postavkama to je C:\program files(x86)\Apache Software Foundation\Tomcat X.X na 64-bitnim Windows Server sustavima,
    ili  C:\program files\Apache Software Foundation\Tomcat X.X na 32-bitnim sustavima.

     
  2. Otvorite mapu Conf u Tomcat instalacijskom direktoriju i tamo locirajte datoteku Server.xml.
    Editirajte tu datoteku koristeći tekst editor kao na primjer Notepad ++.
    Kopirajte sljedeći niz znakova u tu datoteku:

    <Connector port="443" maxHttpHeaderSize="8192" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" scheme="https" secure="true" SSLEnabled="true" clientAuth="false" sslProtocol="TLS" keystoreFile="enter_pfx_filename_here" keystorePass="enter_password_here" keystoreType="PKCS12"/>

     
  3. Restartajte Tomcat servis.

 


Kako omogućiti korištenje sigurne HTTPS/SSL konekcije


 

Kako biste mogli koristiti sigurnu HTTPS/SSL konekciju      za ERA Web konzolu pratite upute u nastavku:
 

  1. Kreirajte bazu ključeva (keystore) s SSL vjerodajnicom. Morate imati instaliran Java JRE, pri čemu je preporučljivo da je instalirana najnovija dostupna verzija, zato što sadrži Java Keytool (keytool.exe), koji omogućava kreiranja vjerodajnica putem komandno linijskog okružja.
    Za svaku instancu tomcata ((u slučaju da imate više instanci tomcata) trebate generirati novu vjerodajnicu kako bi osigurali da u slučaju kompromitacije jedne vjerodajnice ostale instance tomcata ostanu sigurne.

    U nastavku naveden je primjer naredbe  koja kreira bazu ključeva (keystore) sa SSL vjerodajnicom.
    Da provedete ovu naredbu morate navigirati do točne lokacije keytool.exe datoteke, koja je uobičajeno locirana na  <C:\Program Files (x86)\Java\jre1.8.0_40\bin>, pa potom pokrenite niže navedenu naredbu:

keytool.exe -genkey -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
 

Za Linux korisnike ova naredba izgleda ovako:
 

keytool -genkeypair -alias "tomcat" -keyalg RSA -keysize 4096 -validity 3650 -keystore "/home/user/tomcat.keystore" -storepass "yourpassword" -keypass "yourpassword" -dname "CN=Unknown, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown"
 

-storepass i -keypass parametri


Obje vrijednosti, i za -storepass i za -keypass parametre, moraju biti iste.

 

  1. Izvezite vjerodajnice iz baze ključeva.

    U nastavku je primjer naredbe koja izvozi traženu vjerodajnicu iz baze ključeva:

keytool.exe -certreq -alias tomcat -file "C:\Install\tomcat\tomcat.csr" -keystore "C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\tomcat.keystore" -ext san=dns:ERA6-2008R2
 

Za Linux korisnike ova naredba izgleda ovako:
 

keytool -certreq -alias tomcat -file "/home/user/tomcat.csr" -keystore "/home/user/tomcat.keystore" -ext san=dns:ERA6-2008R2
 

Zamijenite vrijednosti u gornjoj naredbi odgovarajućima


Zamijenite vrijednost za  -file parametar naredbe "C:\Install\tomcat\tomcat.csr" s aktualnom putanjom i nazivom datoteke kamo želite izvesti vjerodajnice.

Zamijenite vrijednost  ERA6-2008R2 za  -ext parametar stvarnim nazivom računala (servera) na kojem je pokrenut vaš Apache Tomcat s ERA Web konzolom.

 

  1. Preuzmite SSL vjerodajnice potpisane od strane Root Certificate Authority (CA) po vašem izboru.

    Možete nastaviti na korak 5 ako planirate kasnije uvesti Root CA. Ako odaberete postupati na aj način, vaš web preglednik može prikazati upozorenje o samo-potpisanom certifikatu i morati ćete dodati izuzetak za ERA konzolu preko HTTPS protokola.

     
  2. Jednom kada preuzmete vjerodajnice potpisane od strane Root CA, uvezite ih u vašu bazu vjerodajnica.
    Ispod je primjer naredbe koja uvozi potpisane vjerodajnice u bazu ključeva:

keytool.exe -import -alias tomcat -file "C:\Install\tomcat\tomcat.cer" -keystore "C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\tomcat.keystore"
 

Za Linux korisnike ova naredba izgleda ovako:

keytool -importcert -alias tomcat -file "/home/user/tomcat.cer" -keystore "/home/user/tomcat.keystore"
 

Zamijenite vrijednosti odgovarajućima
 

Zamijenite vrijednost za  -file parametar naredbe "C:\Install\tomcat\tomcat.cer" s aktualnom putanjom i nazivom datoteke u kojoj se nalaze tražene vjerodajnice.

 

  1. Editirajte konfiguracijsku datoteku server.xml tako da oznaka bude napisana na sličan način kao u primjeru u nastavku:
     

<Connector server="OtherWebServer" port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:\Program Files (x86)\Apache Software Foundation\Tomcat 7.0\tomcat.keystore" keystorePass="yourpassword" keyAlias="tomcat"/>
 

Za Linux korisnike ova naredba izgleda ovako:

<Connector server="OtherWebServer" port="443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="/home/user/tomcat.keystore" keystorePass="yourpassword" keyAlias="tomcat"/>
 

Ova modifikacija također onemogućuje nesigurne tomcat značajke, ostavljajući omogućen samo HTTPS (scheme= parameter).
Zbog sigurnosnih razloga možda ćete morati editirati datoteku tomcat-users.xml da obrišete sve tomcat korisnike i promijenite ServerInfo.properties kako bi sakrili identitet tomcata.
 

  • Restartajte Apache Tomcat servis.

    Za Linux korisnike - trebate pokrenuti ovu naredbu:

    sudo service tomcat restart

Pripazite na ovu naredbu, jer pojedine distribucije Linuxa koriste naziv servisa tomcat7.

 

 

Dodatne informacije i linkovi na povezane članke baze znanja

 

 

 

 

 

(posljednji puta revidirano 22.11.2017)
SOLN3724


https://support.eset.com/en/set-up-an-httpsssl-connection-for-eset-remote-administrator-web-console-6x