帮助中心

开始使用

文件审核

终端 DLP

云保护

文件分析

数据风险分析

管理配置

常规设置

关于DataSecurity Plus

发型说明

指南

故障排除

第三方软件 联系我们
×
  • Rate this page:
    • WRITE TO US
  • Please enter a valid the email id
    • By clicking 'SEND', you agree to processing of personal data according to the Privacy Policy.

SSL 配置指南

注意: 通过按照连接设置帮助页面中的步骤从产品控制台应用您的 SSL 证书。

将安全套接字层(SSL)证书应用于 DataSecurity Plus 可确保用户的 Web 浏览器和 DataSecurity Plus 服务器之间的所有数据传输保持安全。本指南解释了启用 DataSecurity Plus 的 SSL 的步骤。

启用 SSL 的步骤:

  1. 创建密钥库文件
  2. 创建和提交证书签名请求
  3. 从证书颁发机构请求已签名的证书
  4. 将 SSL 证书绑定到 DataSecurity Plus
  5. 常见证书类型的说明

1. 创建密钥库文件

密钥库是包含在客户端和服务器之间建立连接后用于加密和解密数据所需的公钥和私钥的存储库。

以下步骤详细说明了创建密钥库的过程:

  • <installation_directory>\ManageEngine\ DataSecurity Plus\jre\bin 打开命令提示符。
  • 然后,在命令提示符中执行以下两个命令中的任何一个以创建 Tomcat 特定的证书密钥库文件,此文件在本文的其余部分将被称为 <domainName>.keystore
    • 命令 1: 创建不带主题备用名称(SAN)的密钥库:

      • keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName>.keystore

    • 命令 2: 某些浏览器(如 Google Chrome 和 Microsoft Edge)需要 SAN。要创建带有 SAN 的密钥库,请执行以下命令:

      • keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName>.keystore -ext SAN=dns:servername.domainName


  • <your key password> 替换为您选择的密码,将 <domainName> 替换为您域名的名称。
  • 在提示时输入密钥库的密码。
  • 根据以下准则提供信息:
序号 问题 答案
1 名字的第一个和最后一个是什么? 提供 DataSecurity Plus 运行的服务器的 NetBIOS(如果 DNS 域名为 test.example.com,NetBIOS 域名为 test)或 FQDN 名称(假设邮件服务器的 FQDN 可能是 mymail.example.com。主机名为 mymail,主机位于 example.com 域中)。
2 您的组织单位的名称是什么? 输入要出现在证书中的部门名称。
3 您的组织的名称是什么? 提供您组织的法定名称。
4 您的城市的名称是什么? 输入您组织注册地址中的城市名称。
5 您的州/省的名称是什么? 输入您组织注册地址中的州或省。
6 您的国家代码是什么? 提供您组织所在国家的两个字母代码。

2. 创建并提交证书签发请求

.csr 文件是临时文件,应提交给证书颁发机构(CA)以获得CA签名的证书文件。以下步骤详细说明了创建.csr 文件的过程。

2.1 创建证书签发请求(CSR)

有两种方法可以创建CSR。

方法1: 从安装位置创建.csr 文件:

  • 打开命令提示符。
  • 从位置<安装目录>\ManageEngine\DataSecurity Plus\jre\bin,执行以下命令:

    • keytool -certreq -alias tomcat -keyalg RSA -keystore <域名>.keystore -file <域名>.csr

方法2: 如果您使用Google Chrome、Microsoft Edge或其他需要具有SAN的浏览器,请按照以下步骤操作:

  • 打开命令提示符。
  • 执行以下命令:

    • keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:服务器名称,dns:服务器名称.domain.com,dns:服务器名称.domain1.com -keystore <域名>.keystore -file <域名>.csr

在上述命令中,用您的域名替换<域名>,并提供适当的替代主题名称。

2.2 提交CSR至您的CA

创建的CSR文件可以在<安装目录>\ManageEngine\DataSecurity Plus\jre\bin找到。请将此文件提交给您的CA。

3. 从证书颁发机构(CA)请求已签名的证书

以下步骤提供了如何连接到CA、提交CSR、获取SSL证书并导入的说明。

3.1 从Microsoft证书服务(内部CA)

对于内部CA:

  • 连接到Microsoft证书服务,然后单击请求证书
  • 单击高级证书请求,然后选择使用基于64位编码的CMC或PKCS #10文件提交证书请求,或使用基于64位编码的PKCS #7文件提交更新请求
  • 使用文本编辑器打开.csr文件,复制内容,然后粘贴到已保存请求下。然后,选择Web服务器作为证书模板,然后单击提交
  • 单击下载证书链链接以下载已发出的PKCS #7证书,类型是在<安装目录>\ManageEngine \DataSecurity Plus\jre\bin文件夹中的.p7b格式。
  • 在右上角单击主页,然后单击下载CA证书、链证书或CRL
  • 单击下载CA证书以下载并保存根证书,格式为.cer
  • .cer文件复制到<安装目录>\ManageEngine \DataSecurity Plus\jre\bin位置。
  • 使用命令提示符导航到<安装目录>\ManageEngine\DataSecurity Plus\jre\bin,然后执行以下查询以将证书导入您的.keystore文件:

    Keytool –import –trustcacerts –alias tomcat –file certnew.p7b –keystore <密钥库名称> .keystore

  • 用您的密钥库名称替换<密钥库名称>
  • 在相同位置,使用以下查询将内部CA的根证书添加到Java cacerts文件的受信任CA列表中:

    keytool -import -alias <内部CA名称> -keystore ..\lib\security\cacerts -file certnew.cer

注意:打开certnew.cer以获取内部CA名称,并在提示时提供changeit作为密钥库密码。

3.2 从外部CA

以下步骤描述了如何请求和导入由一些常见供应商签名的证书。

  • 要从外部CA请求证书,请将CSR提交给该CA。
  • 解压CA返回的证书,然后将其保存在<安装目录> \ManageEngine\DataSecurity Plus\jre\bin文件夹中。
  • 打开命令提示符并导航到<安装目录> \ManageEngine\DataSecurity Plus\jre\bin文件夹。
  • 根据您的CA运行列出的命令:
    • 对于GoDaddy证书
      • keytool -import -alias root -keystore <域名>.keystore -trustcacerts -file gd_bundle.crt
      • keytool -import -alias cross -keystore <域名>.keystore -trustcacerts -file gd_cross.crt
      • keytool -import -alias intermed -keystore <域名>.keystore trustcacerts -file gd_intermed.crt
      • keytool -import -alias tomcat -keystore <域名>.keystore -trustcacerts -file<域名>.crt
    • 对于Verisign证书
      • keytool -import -alias intermediateCA -keystore <域名>.keystore -trustcacerts -file <中间证书.cer>
      • keytool -import -alias tomcat -keystore <域名>.keystore trustcacerts -file <域名> .cer
    • 对于Comodo证书
      • keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <域名>.keystore
      • keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <域名>.keystore
      • keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt - keystore <域名>.keystore
      • keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <域名>.keystore
    • 对于Entrust证书
      • keytool -import -alias Entrust_L1C -keystore <keystore名称.keystore > -trustcacerts -file entrust_root.cer
      • keytool -import -alias Entrust_2048_chain -keystore <keystore名称.keystore > trustcacerts -file entrust_2048_ssl.cer
      • keytool -import -alias -keystore <keystore名称.keystore > -trustcacerts -file <域名.cer>
    • 对于Thawte证书

      直接从Thawte购买

      • keytool -import -trustcacerts -alias tomcat -file<证书名称.p7b>-keystore<keystore名称.keystore>

      通过Thawte转售渠道购买

      • keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer > -keystore<keystore名称.keystore>
      • keytool -import -trustcacerts -alias tomcat -file <SSL_SecondaryCA.cer > trustcacerts -file entrust_2048_ssl.cer
      • keytool -import -trustcacerts -alias tomcat -file <证书名称.cer> -keystore <keystore名称.keystore>

注意:这些说明可能会根据CA颁发的证书而有所变化。如果您收到不在上述列表中的CA颁发的证书,请联系您的CA以获取添加其证书到密钥库所需的命令。

4. 将SSL证书绑定到DataSecurity Plus

以下步骤描述了如何配置DataSecurity Plus服务器以使用包含SSL证书的密钥库。

4.1 在DataSecurity Plus控制台中定义SSL端口

请按照以下步骤定义DataSecurity Plus将使用的HTTPS端口:

  • 使用具有管理权限的帐户登录到DataSecurity Plus控制台。
  • 从应用程序下拉菜单中,选择 管理,然后导航到 常规设置 > 连接
  • DataSecurity Plus Portal (HTTPS) 选为 连接类型。然后输入您计划在DataSecurity Plus中使用的端口号,并保存更改。

    注意: 9163是DataSecurity Plus默认使用的HTTPS端口号。

  • 重新启动DataSecurity Plus。
4.2 安装SSL证书

请按照以下步骤安装SSL证书:

  • <安装目录>\ManageEngine\DataSecurity Plus\jre\bin 文件夹复制 <域名>.keystore 文件,并将其保存到 <安装目录>\ManageEngine\DataSecurity Plus\conf 文件夹
  • 使用文本编辑器打开位于 <安装目录>\ManageEngine \DataSecurity Plus\conf 中的 server.xml 文件,然后导航到最后的连接器标记。
  • keystoreFile 替换为 ./conf/<域名>.keystore,将 keystorePass 替换为创建密钥库时提供的密码。
  • 保存 server.xml 文件,并关闭它。
  • 重新启动DataSecurity Plus (开始 > 所有程序 > DataSecurity Plus > 启动DataSecurity Plus) 以使更改生效,然后启动DataSecurity Plus客户端。

5. 常见证书类型的说明

本节提供了使用.p7b和.pfx证书文件类型配置SSL的步骤。

5.1 安装.p7b证书

大多数CA都会提供扩展名为.p7b的证书。要安装此类型的文件,请按照以下步骤操作:

  • 双击此文件以打开列出所有所需证书的控制台。
  • 右键单击证书,然后导航到 所有任务 > 导出
  • 将弹出证书导出向导对话框。点击 下一步
  • 选择导出文件格式为 Base-64编码的X.509(.cer)。点击 下一步
  • 指定要导出的文件名称。点击 下一步
  • 查看您的设置,然后点击 完成。然后点击 确定
  • 使用CA提供的步骤和命令将此证书文件添加到密钥库中。
  • 继续到第4节。
5.2 安装.pfx证书

执行第4.1节后,按照以下步骤安装扩展名为.pfx的证书:

  • 停止DataSecurity Plus服务。
  • .pfx文件复制到 <安装目录>\ManageEngine\DataSecurity Plus\conf 文件夹中。
  • 使用文本编辑器打开位于 <安装目录>\ManageEngine \DataSecurity Plus\conf 中的 server.xml 文件,然后导航到最后的连接器标记。
  • keystoreFile 替换为 .pfx 文件的名称,并在文件名称后输入 keystoreType="pkcs12"。将 keystorePass 替换为 .pfx 文件的密码。
  • 保存 server.xml 文件,并关闭它。
  • 重新启动DataSecurity Plus (开始 > 所有程序 > DataSecurity Plus > 启动DataSecurity Plus) 以使更改生效,然后启动DataSecurity Plus客户端。

版权所有 © 2023, 卓豪(中国)技术有限公司,保留一切权利。