配置安全通讯 - SSL
您可以配置防火墙分析仪的客户端使用SSL进行通讯。
这里给出的步骤,适用于防火墙分析仪的v7.5 (Build 7500) 及以后版本,对于7.5之前的版本,请联系技术支持。
生成有效的证书
如果防火墙分析仪正在运行,请停止它。
执行以下步骤:
如果有HTTPS用的keystore文件,请将它存放到<FWA_Home>conf目录下,并将其重命名为 "chap8.keystore"
禁用HTTP
如果在启用SSL的同时,仍然可以通过HTTP访问,可通过以下步骤禁用HTTP:
- 编辑位于 <FWA_Home>/conf目录下的 server.xml 文件。
- 注释掉HTTP connection 参数,在参数前面和后面,添加 <!-- 和 --> :
<Connector port="8080"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" redirectPort="8443" acceptCount="100"
debug="3" connectionTimeout="20000"
disableUploadTimeout="true" /> |
启用 HTPPS (SSL)
- 在同一文件中,启用 HTTPS connection 参数,去掉该参数前面和后面的 <!-- --> :
<!--
<Connector port="8443" SSLEnabled="true" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore" keystorePass="firewall" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS" URIEncoding="UTF-8"/>
--> |
|
在创建 keystore 文件时,如果输入了密码,请确保在 server.xml 文件中,指定了相同的密码 (keystorePass的值),上述示例中配置的密码为:'firewall'。 |
验证SSL的设置
- 重启防火墙分析仪
- 如果从命令行启动,启动完成后会显示:
Server started.
Please connect your client at https://localhost:8500
|
- 打开浏览器,在地址栏输入 https://<hostname>:8500 这里 <hostname> 为服务器的主机名
配置 HTTPS 的 64/128 位加密参数
如果希望配置 使用64/128位加密的 HTTPS 连接参数,请在SSL/TLS Connector 的标签中添加以下内容:
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"
<!-- SSL/TLS Connector configuration using the admin devl guide keystore -->
<Connector port="8443" SSLEnabled="true" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore" keystorePass="firewall" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS" URIEncoding="UTF-8" SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA/>
|
使用已有的 SSL 证书
- 您可以将通用证书导出为 .pfx 文件,然后按照以下步骤配置使用已有的证书。
- 停止防火墙分析仪。
- 将导出的 .pfx 复制到 <FWA_Home>conf
- 打开 <FWA_Home>\conf 目录下的 server.xml 文件,定位到以下条目:
<!-- SSL/TLS Connector configuration using the admin devl guide keystore -->
<Connector port="8443" SSLEnabled="true" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore" keystorePass="firewall" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS" URIEncoding="UTF-8"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
|
- 将文件名 chap8.keystore 替换为您的 pfx 文件名 (<pfx file name>.pfx) ,并在文件名之后,输入 keystoreType="pkcs12",替换 keystorePass 的值 'firewall' 为您的 .pfx文件的密码。
<!-- SSL/TLS Connector configuration using the admin devl guide keystore -->
<Connector port="8443" SSLEnabled="true" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/<pfx file name>.pfx" keystoreType="pkcs12" keystorePass="<password for the .pfx file>" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS" URIEncoding="UTF-8"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/>
|
以下为SSL安装的步骤:
步骤 1: 创建Keystore文件
- 需要使用 keytool 命令来创建并管理新的Keystore文件。该工具文件通常位于 (<FWA_Home>\jre\bin\)。导航到该目录,输入以下命令:
keytool -genkey -alias <our_alias_name> or [Domain Name] -keyalg RSA -keystore chap8.keystore
(如: keytool -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore)
- 您会要求输入您的keystore的密码,接着要求输入您的机构信息,当要求您的姓名时,不要输入真的姓名,而是输入您的网站的全路径域名,如:fwa.yourdomain.com,如果要发行通用证书,必须以 * 开始,如: *.yourdomain.com)
- 完成所需的信息,并确认信息为正确的话,输入'y' or 'yes' ,会提示您再次确认密码。请记住您输入的密码。这样,将会在当前目录下,创建文件名为 chap8.keystore 的keystore文件。
步骤 2: 从新的keystore文件,创建一个 CSR
- 接下来,使用 keytool 从您的keystore文件创建CSR(证书签名请求 - Certificate Signing Request),输入以下命令
keytool -certreq -alias <your_alias_name> 或 [Domain Name] -file csr.txt -keystore chap8.keystore
(如:keytool -certreq -alias tomcat -file csr.txt -keystore chap8.keystore)
- 输入前面输入的 keystore 的密码。按回车键
- 您的 CSR 文件(名称为) csr.txt 已在当前目录被创建。使用文本编辑器打开该CSR文件。将内容(包括 BEGIN 和 END 标记) 复制粘贴到 CA 机构的提交申请的表单中,提交。并妥善保管已生成的keystore (chap8.keystore) 。
步骤 3: 安装证书
- CA批准您的证书申请之后,会向您发送邮件,点击邮件的连接,下载您的证书,将其保存到keystore (chap8.keystore)所在的目录,证书必须安装到该keystore文件,不能弄错。如果将证书安装到其它keystore文件,将不会工作。下载的证书,必须以正确的顺序安装到您的keystore文件中。才能使该证书被信任。如果证书的安装顺序不正确,则该证书将不会被认证通过。
- 安装根证书文件(Root Certificate file):
- 每次安装证书到您的 keystore 时,都会提示输入keystore的密码(生成CSR时选择的密码)
- 输入以下命令,安装根证书:
keytool -import -trustcacerts -alias root -file TrustedRoot.crt -keystore chap8.keystore
注意: 如果提示"Certificate already exists in system-wide CA keystore under alias <entrustsslca> Do you still want to add it to your own keystore? [no]:",一定要输入:'Yes' ,之后您会被提示:证书已添加到keystore("Certificate was added to keystore")。
- 安装中间证书(如果有的话) (指令由CA提供)
- 安装主要证书文件:
- 输入以下命令,安装主要证书(Primary certificate)文件:
keytool -import -trustcacerts -alias tomcat -file <your_domain_name>.crt -keystore chap8.keystore
这次的确认描述稍有不同:"Certificate reply was installed in keystore",如果询问您是否信任该证书,选择 y 或 yes,这样,您的证书就安装到您的keystore文件中了。(keystore.key) ,您要做的就是配置服务器使用该keystore文件(前面已经叙述)。
|