OpManager中启用SSL

SSL(安全套接字层)证书是一种数字证书,可确保客户端系统与相应服务器之间共享的数据的真实性、完整性和加密性。因此,为了提高网络安全性并遵守政府规定的框架,用户必须启用其SSL证书。启用 SSL 被认为是最佳安全实践之一,因为它使您的网络不易受到网络攻击。要在OpManager中启用SSL,请按照以下步骤操作。

对于OpManager版本8050到123180

下面给出的是OpManager中的SSL配置操作列表:

在OpManager中启用SSL的步骤

在build 8050中,我们从OpManager中删除了Apache。请按照以下步骤启用SSL:

  1. 打开命令提示符(运行>cmd)并将目录更改为/OpManager/bin。
  2. 执行以下命令

    ssl_gen.bat -f Enable

您已成功为OpManager启用自签名SSL证书。现在,您可以使用 https:// 访问具有相同端口号的OpManager Web客户端。

在OpManager中禁用SSL的步骤

  1. 打开命令提示符(运行>cmd)并将目录更改为/OpManager/bin。
  2. 执行以下命令

    ssl_gen.bat Disable

这将禁用OpManager的SSL。可以使用与 http:// 相同的端口号访问 Web 客户端。

为 NetFlow 插件启用 SSL 的步骤

  1. 打开命令提示符(运行>cmd)并将目录更改为/OpManager/NetFlow/bin。
  2. 执行以下命令

    ssl_gen.bat -f Enable

禁用 Netflow 插件的 SSL 的步骤

  1. 打开命令提示符(Run-> cmd)并将目录更改为/OpManager/NetFlow/bin。
  2. 执行以下命令

    ssl_gen.bat Disable

在OpManager中启用第三方SSL的步骤

  1. 打开命令提示符(运行>cmd)并将目录更改为/OpManager
  2. 生成密钥库文件。执行以下命令并提供请求的详细信息,以在conf文件夹下创建OpManager.truststore文件。

    >jrebin\keytool.exe -v -genkey -keyalg RSA -keystore OpManager.truststore -alias OpManager   (Press Enter)


    (或者)

    >jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias OpManager  -keysize 2048   (2048 bit key)


    输入密钥库密码:(输入此密钥库的密码。 长度至少为 6 个字符。按 Enter 键)
    您的名字和姓氏是什么?
    [未知]:(输入运行OpManager的服务器名称。它必须是 FQDN [完全限定域名],例如:opmserver.manageengine.com。按 Enter 键。
    您的单位部门的名称是什么?
    [未知]:(您的组织单位名称。例如:SYSADMIN。按 Enter 键。
    您的组织的名称是什么?
    [未知]:(您的组织名称。Ex:Zoho Corp. 按 Enter 键。
    您的城市或地区的名称是什么?
    [未知]:(您的城市名称。例如:普莱森顿。按 Enter 键。
    您所在的州或省的名称是什么?
    [未知]:(您的州名。例如:加利福尼亚。按 Enter 键。
    这个单位的双字母国家代码是什么?
    [未知]:(您所在国家/地区的两个字母代码。例如:US。按 Enter 键。
    CN=opmserver.manageengine.com,OU=SYSADMIN,O=Zoho Corp,L=Pleasanton,ST=California,C=US 正确吗?
    [否]:(检查详细信息,如果正确,请键入 yes 并按 Enter。否则只需按 Enter 键即可修改)
    为 CN=opmserver.manageengine.com 生成 1,024 位 RSA 密钥对和自签名证书 (MD5WithRSA
    ),OU=SYSADMIN,O=Zoho Corp,L=Pleasanton,ST=California,C=US
    输入<OpManager>
    的密钥密码(如果与密钥库密码相同,则返回):(只需按回车键。对于 tomcat,密钥库密码和密钥 [alias] 密码必须相同)
    [存储conf OpManager.truststore]
  3. 生成CSR文件(证书签名请求)。执行以下命令,在conf文件夹下创建opmssl.csr文件:

    >jre\bin\keytool.exe -v -certreq -file conf\opmssl.csr -keystore conf\OpManager.truststore -alias OpManager


    输入密钥库密码:(输入密钥库文件的密码)
    存储在文件中的认证请求 <confopmssl.csr>
    将其提交给您的 CA
  4. 从 CA(证书颁发机构)获取证书
    使用上一步中生成的 csr 文件联系 Verisign、Equifax 等 CA,以获取 ssl 证书。大多数情况下,您必须将 csr 文件的内容复制并粘贴到其网站的文本区域中。验证您的请求后,他们通常会通过邮件向您发送证书内容。将内容复制并粘贴到文本编辑器中,并将其保存为OpManager_Homeconf文件夹下的“ServerCert.cer”。请注意,在进行复制粘贴时,不要在行尾添加额外的空格。
  5. 导入根证书和中间证书:
    在导入证书之前,我们必须将 CA 的根证书和中间证书导入到我们在第二步中生成的密钥库文件中。在向您邮寄证书时,CA 会提及其根证书和中间证书的链接。将它们分别保存在 conf 目录下的名称 “CARoot.cer” 和 “CAIntermediate.cer” 中。某些 CA 可能具有两个或多个中间证书。在导入之前,请清楚地参考他们的文件。
    导入根证书

    >jre\bin\keytool.exe -import -trustcacerts -file conf\CARoot.cer -keystore conf\OpManager.truststore -alias CARootCert


    输入密钥库密码:(输入密钥库密码)(
    将打印根证书的信息)
    信任此证书?[no]:(键入 yes,如果是 CA 的证书,则按 Enter)
    证书已添加到密钥库

    导入中间证书

    >jre\bin\keytool.exe -import -trustcacerts -file conf\CAIntermediate.cer -keystore conf\OpManager.truststore -alias CAInterCert
    输入密钥库密码:(输入密钥库密码)
    证书已添加到密钥库
     

  6. 导入服务器的证书。 执行以下命令,将从 CA 接收的证书添加到密钥库文件:

    >jre\bin\keytool.exe -import -trustcacerts -file conf\ServerCert.cer -keystore conf\OpManager.truststore -alias OpManager


    输入密钥库密码:(输入密钥库密码)
    证书应答已安装在密钥库中
  7. 配置 Tomcat
    1. 在文本编辑器中打开ssl_server.xml文件(在OpManager_Hometomcatconfbackup下)。
    2. 搜索术语 keystoreFile。它将是连接器标记的属性。将值设置为
      WEBNMS_ROOT_DIR/conf/OpManager.truststore
    3. 使用密钥库文件密码更改keystorePass属性的值。
  8. 修改conf文件
    1. 在文本编辑器中打开OpManagerStartUp.properties文件(在OpManager_Homeconf下)。
    2. 将参数https的值设置为Enable
  9. 启动OpManager服务器。使用 https 连接客户端。例如:https://opmserver:80
注意:

如果您已经拥有此服务器的证书,并且该证书是由使用 Java keytool 生成的密钥库文件请求的,那么您可以将其用于 SSL 配置。只需将密钥库文件复制并粘贴到OpManager下_Homeconf并将其重命名为“OpManager.truststore”,然后按照5中的步骤操作即可。

 

(在上面的所有位置提供conf\OpManager.truststore的完整路径,例如:c:\ProgramFiles\Manageengine\OpManager\conf\OpManager.truststore,而不是conf\OpManager.truststore