安装SSL证书(低于123180版本)
您可以在Network Configuration Manager中安装自己的SSL证书。按照以下步骤进行操作:
Network Configuration Manager作为HTTPS服务运行。它需要一个有效的CA签名SSL证书,其主体名称作为它运行的主机的名称。默认情况下,在第一次启动时,它会创建一个自签名证书。此自签名证书将不受用户浏览器的信任。因此在连接到Network Configuration Manager时,您需要仔细手动验证证书信息和Network Configuration Manager服务器的主机名,并且应该强制浏览器接受证书。
要使Network Configuration Manager服务器向Web浏览器和用户正确识别自己:
- 您需要为Network Configuration Manager主机从CA获取新的签名证书,或者
- 您可以为Network Configuration Manager主机配置从具有通配符主体支持的CA获得的现有证书。
您可以使用OpenSSL或者keytool (与Java捆绑)来创建您的证书,让它们由 CA 签名并与Network Configuration Manager一起使用。根据您安全管理员所说的,您可以选择使用工具。此处提供了有关使用这两种工具的详细说明。如果您已经拥有由CA签署的证书,那么我们建议使用OpenSSL创建密钥库并在Network Configuration Manager中对其进行配置(以下说明中的步骤4和5)。
使用OpenSSL
OpenSSL与大多数Linux发行版捆绑在一起。如果您使用Windows但没有安装OpenSSL,请从http://www.slproweb.com/products/Win32OpenSSL.html进行下载。确保OpenSSL安装下的“bin”文件夹包含在“PATH”环境变量中。
步骤1:第一步是创建将用于SSL握手的公钥-私钥对
- 打开命令提示符。
- 执行'openssl genrsa -des3 -out <privatekey_filename>.key 1024'。
- <privatekey_filename> 是您指定用于存储私钥的文件名。
- 这将提示您输入私钥的密码。输入'deviceexpert'或您选择的密码(虽然没有记录,但Tomcat对包含特殊字符的密码存在问题,因此请使用只有字母字符的密码)。
- 这将在同一文件夹中创建一个名为<privatekey_filename>.key的文件。
步骤2:创建证书签名请求(CSR),以便提交给证书颁发机构,从而使用上一步中生成的公钥创建已签名的证书。
- 执行'openssl req -new -key <privatekey_filename>.key -out <certreq_filename>.csr'。
- <privatekey_filename>.key是上一步中使用的。
- <certreq_filename>.csr是您指定的用于将证书创建请求传送到CA(证书颁发机构)的文件名。
- 这将提示您输入一系列值,这些值是托管Network Configuration Manager服务器的专有名称(DN)的一部分。
- 输入适用于您的值,重要的是'通用名称'提供托管Network Configuration Manager服务器的完全限定名称(通过浏览器访问它)。
- 将在同一文件夹中创建一个文件名<certreq_filename>.csr。
步骤3:将CSR提交给证书颁发机构(CA),从而获得CA签名证书。
步骤4:将CA签名证书导入密钥库。
- 在命令提示符下导航到同一个工作文件夹。
- 执行'openssl pkcs12 -export -in <cert_file>.cer -inkey <privatekey_filename>.key -out <keystore_filename>.p12 -name Network Configuration Manager -CAfile <root_cert_file>.cer -caname Network Configuration Manager -chain'
- 其中
- cert_file.cer是带有.cer扩展名的签名SSL证书。
- privatekey_filename.key是带有.key扩展名的私钥文件。
- keystore_filename.p12名称是将使用.p12扩展名生成的密钥存储库。
- root_cert_file.cer是扩展名为.cer的CA根证书。
- 当提示输入密码时,输入您在步骤1中为私钥使用的相同密码。请注意此要求是由于tomcat的固有限制,这两个密码必须相同。
- 这将在同一文件夹中生成密钥库文件<keystore_filename>.p12。
步骤5:最后配置Network Configuration Manager服务器从而使用具有SSL证书的密钥存储库。
- 将上一步生成的<keystore_filename>.p12复制到<Network Configuration Manager_Install_Folder>\conf文件夹中。
- 在命令提示符中,导航到<Network Configuration Manager_Install_Folder>\conf文件夹。
- 打开文件server.xml并进行以下更改。
- 搜索条目'keystoreFile',其默认值设置为"conf/server.keystore"。将值更改为"conf/<keystore_filename>.p12"。
- 确保'keystorePass'的条目设置为"deviceexpert"或您在创建密钥库时在之前步骤中指定的密码。
- 在keystorePass条目旁边添加一个新条目keystoreType="PKCS12"。
- 保存server.xml文件。
- 重新启动Network Configuration Manager服务器并通过Web浏览器进行连接。如果您能够在浏览器没有任何告警的情况下查看Network Configuration Manager登录控制台,则您已成功在Network Configuration Manager中安装了SSL证书!
步骤1:第一步是创建将用于SSL握手的公私-密钥对。
- 进入<Network Configuration Manager_Home>/jre/bin文件夹。
- 执行命令"./keytool -genkey -alias Network Configuration Manager -keyalg RSA -keypass <privatekey_password> -storepass <keystore_password> -validity <no_of days> -keystore <keystore_filename>"
- <keystore_password>是访问密钥库的密码,<privatekey_password>是保护您私钥的密码。请注意,由于tomcat的固有限制,这两个密码必须相同(虽然没有记录,但Tomcat存在密码包含特殊字符的问题,因此请使用只有字母字符的密码)。
- <no_of_days>是密钥对从创建之日起天数的有效性。
- 该命令将提示您输入有关您和您企业的详细信息。
- 对于'名字和姓氏',输入运行Network Configuration Manager服务器的FQDN。
- 对于其他字段,请输入相关信息。
- <keystore_password>是访问密钥库的密码,<privatekey_password>是保护您私钥的密码,<no_of_days>是密钥对从创建之日起天数的有效性。
- 这将在同一文件夹中创建一个名为<keystore_filename>的密钥库文件,其中包含生成的密钥对。
步骤2:创建证书签名请求(CSR),以便提交给证书颁发机构,从而使用之前步骤中生成的公钥创建签名证书。
- 进入<Network Configuration Manager_Home>/jre/bin文件夹。
- 执行命令"keytool -certreq -keyalg RSA -alias Network Configuration Manager -keypass <privatekey_password> -storepass <keystore_password> -file <csr_filename> -keystore <keystore_filename>"
- 请注意,您选择的<csr_filename>应具有.csr扩展名。The <privatekey_password>、<keystore_password>和<keystore_filename>是最后一步中使用的对象。
- 这将在同一文件夹中创建一个名为<csr_filename>的CSR文件。
步骤3:将CSR提交给证书颁发机构(CA)从而获得有CA签名的证书。
步骤4:将CA签名证书导入Network Configuration Manager服务器。
- 将SSL证书导入到密钥存储库中。
- 进入<Network Configuration Manager_Home>/jre/bin文件夹。
- 执行命令"keytool -import -alias Network Configuration Manager -keypass <privatekey_password> -storepass <keystore_password> -keystore <keystore_filename> -trustcacerts -file <your_ssl_certificate>"
- <your_ssl_certificate>是您从CA获得的证书,上一步保存的.cer文件。The <privatekey_password>、<keystore_password>和<keystore_filename>是前面步骤中使用的。
- 现在将<keystore_filename>复制到<Network Configuration Manager_Home>/conf文件夹。
步骤5:最后,配置Network Configuration Manager服务器从而使用具有SSL证书的密钥存储库。
- 进入<Network Configuration Manager_Home>/conf文件夹。
- 打开文件server.xml。
- 搜索条目'keystoreFile',其默认值设置为"conf/server.keystore"。将值更改为"conf/<keystore_filename>",其中<keystore_filename>是前面步骤中使用的值。
- 另外还要搜索条目'keystorePass' (实际上它在keystoreFile附近),其默认值设置为"deviceexpert"。将值更改为"<keystore_password>",其中<keystore_password>是前面步骤中使用的值。
- 重新启动Network Configuration Manager服务器并通过Web浏览器进行连接。如果您能够在浏览器没有任何告警的情况下查看Network Configuration Manager登录控制台,则您已成功在Network Configuration Manager中安装了SSL证书!
注意:Tomcat在默认情况下只接受JKS(Java密钥库)和PKCS #12格式的密钥库。如果密钥库是PKCS #12格式,请在server.xml文件中包含以下选项以及密钥库名称,keystoreType="PKCS12? 这告诉tomcat格式是PKCS12。更改后重新启动服务器。
安装现有支持通配符的SSL证书
- 进入<Network Configuration Manager_Home>/conf文件夹。
- 打开文件server.xml。
- 搜索条目'keystoreFile',其默认值设置为"conf/server.keystore"。将值更改为"conf/<keystore_filename>",其中<keystore_filename>是属于现有通配符证书的值。
- 另外还要搜索条目'keystorePass'(实际上它在keystoreFile附近),其默认值设置为"deviceexpert"。将值更改为"<keystore_password>",其中<keystore_password>是用于保护现有通配符证书密钥库的值。
- 重新启动Network Configuration Manager服务器并通过Web浏览器控制台进行连接。如果您能够在浏览器没有任何告警的情况下查看Network Configuration Manager登录控制台,,则您已成功在Network Configuration Manager中安装了SSL证书!
注意:有关更多详细信息和故障排除,请参阅您的CA文档。
