使用SSL

• 对于EventLog Analyzer版本8.0（构建号8010）及之后的产品
• 对于EventLog Analyzer版本8.0（构建号8000）及之前的产品

怎样找到构建号？

在EventLog Analyzer web客户端，点击页面右上角的帮助 > 关于链接，您可以上述提到的产品的构建号，此构建号就是当前EventLog Analyzer的构建号。

配置安全通信 - SSL

SSL协议提供了多种功能，确保Web传输的安全性。这些功能包括，数据加密、服务器认证和消息完整性。

您可以使用SSL在Web客户端与EventLog Analyzer服务器之间建立安全通信。

说明：我们这里提供的步骤仅表述如何启用SSL功能和生成证书，根据您的网络配置和安全性需求，您可能需要参考其他的文档资料。 对于高级配置的问题，请在http://www.apache.org和http://www.modssl.org站点查阅SSL相关主题。

对于EventLog Analyzer版本8.0（构建号8010）及之后的产品

• 生成一个有效的证书
• 禁用HTTP
• 启用HTPPS (SSL)
• 验证SSL步骤
• 配置HTTPS 64位/128位加密参数
• 使用已有的SSL证书
• 怎样为EventLog Analyzer安装证书

生成一个有效的证书

如果服务器正在运行，请首先停止服务器。

参阅以下的说明来启用SSL。

如果您有一个keystore文件来使用HTTPS，请将其放置在<EventLog Analyzer Home>\server\default\conf 目录下并重命名为chap8.keystore

禁用HTTP

当您启用SSL后，HTTP将还会使用web服务器端口，要禁用HTTP请参阅以下步骤：

1. 编辑<EventLog Analyzer Home>/conf目录下的server.xml文件。
2. 在以下内容的开始部分添加<!-- 标记，在结尾部分添加 --> 标记，注释掉HTTP的连接参数：

启用 HTPPS (SSL)

• 在同一文件中，启用HTTPS连接参数，请移除以下内容中的<!-- 标记和 --> 标记：

说明：当创建keystore文件时，您可以根据自身需求输入密码，但是您需要确保此密码也配置在了server.xml文件中，示例密码默认配置为eventlog。

验证SSL设置

1. 重新启动EventLog Analyzer服务器。
2. 在EventLog Analyzer应用启动后，在命令窗口检查以下信息是否出现：

3. 在浏览器中输入https://<hostname>:8400 ，其中<hostname>即运行服务器的机器的名称，验证是否可以打开客户端。

配置HTTPS 64位/128位加密参数

如果您想要配置HTTPS使用64位/128位加密参数，请在SSL/TLS连接器标记的结尾部分添加以下参数：
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"

使用已有的SSL证书

• 您可以将通配符证书导出为一个.pfx文件，然后在EventLog Analyzer中执行以下配置
• 停止ManageEngine EventLog Analyzer服务
• 将.pfx文件复制到<EventLog Analyzer Home>\server\conf目录下
• 使用文本编辑器打开目录<EventLog Analyzer Home>\conf下的文件server.xml，找到以下内容：

• 将文件名chap8.keystore替换为pfx文件的名称（<pfx file name>.pfx），并在文件名后输入keystoreType="pkcs12" ，同时将keystorePass的值“eventlog”修改为 .pfx 文件的密码。

• 所需修改内容示例如下：

• 重启EventLog Analyzer服务

怎样为EventLog Analyzer安装证书

请参阅以下有关SSL的安装说明。

步骤1：创建一个新的Keystore文件

1. 您需要使用keytool命令来创建和管理您的新Keystore文件，当您准备好创建您的keystore文件时，请打开您计划用来管理您的Keystore和证书的目录（<EventLog Analyzer Home>\jre\bin\），输入以下命令：

keytool -genkey -alias <our_alias_name> or [Domain Name] -keyalg RSA -keystore chap8.keystore
（例如：keytool -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore）

2. 它会提示您为您的keystore设置一个密码，以及您的组织信息，当它要求您输入您的名字信息时，请不要输入您自己的名字，在这里输入您所要保护的网站的全称域名，如helpdesk.yourdomain.com。如果您订购了一个通配符证书，这里必须以 * 字符开始，如*.yourdomain.com。
3. 在您完成所需的信息后，它会提示您确认信息的正确性，输入“y”或“yes”表示确定。 下一步，它会要求您确认您的密码，确保您已经记住了密码。您的创建的keystore文件将会被命名为chap8.keystore，并存储在您当前的工作目录中。

步骤2：创建CSR

1. 接下来，您需要使用keytool来创建证书签名请求（CSR），请输入以下命令：

keytool -certreq -alias <your_alias_name> or [Domain Name] -file csr.txt -keystore chap8.keystore
（例如：keytool -certreq -alias tomcat -file csr.txt -keystore chap8.keystore）

2. 输入您之前设置的keystore的密码
3. 您的CSR文件csr.txt将会创建在您当前的目录下，使用文本编辑器打开CSR文件，复制并粘贴内容（包括BEGIN和END标记）到CA网站订单表格，请小心保存keystore文件（chap8.keystore），因为您的证书稍后需要安装到它。

步骤3：怎样安装SSL证书

1. 从CA网站发送的邮件中下载您的证书文件，保存到您的keystore（chap8.keystore）所在的目录，这个证书必须安装到这个指定的keystore，如果您将其安装到其它的keystore，它将不起任何作用。您所下载的证书必须以正确的顺序安装到您的keystore，以便使您的证书可以被信任，如果安装顺序不正确，那么证书可能不能得到正确的认证。
2. 安装根证书文件。
   • 每当您在keystore上安装证书时，您都需要输入keystore的密码，即您在生成CSR时所设置的密码。
   • 输入以下命令来安装根证书文件：

keytool -import -trustcacerts -alias root -file TrustedRoot.crt -keystore chap8.keystore

说明：如果看到提示“Certificate already exists in system-wide CA keystore under alias <entrustsslca> Do you still want to add it to your own keystore? [no]:” ，请输入“Yes”，之后您或看到一个确认消息：“Certificate was added to keystore”。

3. 如果需要，请安装中间证书（请参阅CA提供的说明文档）
4. 安装主证书文件：
   • 输入以下命令来安装主证书文件：

keytool -import -trustcacerts -alias tomcat -file <your_domain_name>.crt -keystore chap8.keystore

这个时候您会得到一个稍微不同的提示信息“Certificate reply was installed in keystore”，如果它提示您是否要信任证书，请输入“y”或者“yes”。您的证书将安装到您的 keystore文件（keystore.key），之后您所要做的就是配置您的服务器来使用这个keystore文件。