使用SSL
怎样找到构建号?
在EventLog Analyzer web客户端,点击页面右上角的帮助 > 关于链接,您可以上述提到的产品的构建号,此构建号就是当前EventLog
Analyzer的构建号。
配置安全通信 - SSL
SSL协议提供了多种功能,确保Web传输的安全性。这些功能包括,数据加密、服务器认证和消息完整性。
您可以使用SSL在Web客户端与EventLog Analyzer服务器之间建立安全通信。
对于EventLog Analyzer版本8.0(构建号8010)及之后的产品
生成一个有效的证书
如果服务器正在运行,请首先停止服务器。
参阅以下的说明来启用SSL。
如果您有一个keystore文件来使用HTTPS,请将其放置在<EventLog Analyzer Home>\server\default\conf
目录下并重命名为chap8.keystore
禁用HTTP
当您启用SSL后,HTTP将还会使用web服务器端口,要禁用HTTP请参阅以下步骤:
- 编辑<EventLog Analyzer Home>/conf目录下的server.xml文件。
- 在以下内容的开始部分添加<!-- 标记,在结尾部分添加 --> 标记,注释掉HTTP的连接参数:
<Connector
port="8400" SSLEnabled="false" acceptCount="100"
address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml"
compression="force" compressionMinSize="1024" connectionTimeout="20000"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata" protocol="HTTP/1.1"
scheme="http" secure="false" URIEncoding="UTF-8"/> |
启用 HTPPS (SSL)
- 在同一文件中,启用HTTPS连接参数,请移除以下内容中的<!-- 标记和 --> 标记:
<!--
<Connector port="8400" SSLEnabled="true" acceptCount="100"
address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml"
compression="force" compressionMinSize="1024" connectionTimeout="20000"
disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore"
keystorePass="eventlog" maxSpareThreads="75"
maxThreads="150" minSpareThreads="25" noCompressionUserAgents="gozilla,
traviata" protocol="HTTP/1.1" scheme="https" secure="true"
sslProtocol="TLS" URIEncoding="UTF-8"/>
--> |
|
说明:当创建keystore文件时,您可以根据自身需求输入密码,但是您需要确保此密码也配置在了server.xml文件中,示例密码默认配置为eventlog。 |
验证SSL设置
- 重新启动EventLog Analyzer服务器。
- 在EventLog Analyzer应用启动后,在命令窗口检查以下信息是否出现:
Server started.
Please connect your client at https://localhost:8400 |
- 在浏览器中输入https://<hostname>:8400 ,其中<hostname>即运行服务器的机器的名称,验证是否可以打开客户端。
配置HTTPS 64位/128位加密参数
如果您想要配置HTTPS使用64位/128位加密参数,请在SSL/TLS连接器标记的结尾部分添加以下参数:
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"
<!-- SSL/TLS Connector configuration
using the admin devl guide keystore -->
<Connector port="8400" SSLEnabled="true" acceptCount="100"
address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml"
compression="force" compressionMinSize="1024" connectionTimeout="20000"
disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore"
keystorePass="eventlog" maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" noCompressionUserAgents="gozilla, traviata"
protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"
URIEncoding="UTF-8" SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/> |
使用已有的SSL证书
- 您可以将通配符证书导出为一个.pfx文件,然后在EventLog
Analyzer中执行以下配置
- 停止ManageEngine EventLog Analyzer服务
- 将.pfx文件复制到<EventLog Analyzer Home>\server\conf目录下
- 使用文本编辑器打开目录<EventLog Analyzer Home>\conf下的文件server.xml,找到以下内容:
<!-- SSL/TLS Connector configuration
using the admin devl guide keystore -->
<Connector port="8400" SSLEnabled="true" acceptCount="100"
address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml"
compression="force" compressionMinSize="1024" connectionTimeout="20000"
disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/chap8.keystore"
keystorePass="eventlog" maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" noCompressionUserAgents="gozilla, traviata"
protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"
URIEncoding="UTF-8"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/> |
- 将文件名chap8.keystore替换为pfx文件的名称(<pfx file name>.pfx),并在文件名后输入keystoreType="pkcs12"
,同时将keystorePass的值“eventlog”修改为 .pfx
文件的密码。
<!-- SSL/TLS Connector configuration
using the admin devl guide keystore -->
<Connector port="8443" address="${jboss.bind.address}"
maxThreads="100" minSpareThreads="5" maxSpareThreads="15"
scheme="https" secure="true" clientAuth="false"
keystoreFile="${jboss.server.home.dir}/conf/<pfx file
name>.pfx" keystoreType="pkcs12"
keystorePass="<password for the .pfx file>"
sslProtocol = "TLS"
SSLCipherSuite="SSL_RSA_WITH_3DES_EDE_CBC_SHA"/> |
怎样为EventLog Analyzer安装证书
请参阅以下有关SSL的安装说明。
步骤1:创建一个新的Keystore文件
- 您需要使用keytool命令来创建和管理您的新Keystore文件,当您准备好创建您的keystore文件时,请打开您计划用来管理您的Keystore和证书的目录(<EventLog Analyzer Home>\jre\bin\),输入以下命令:
keytool -genkey -alias <our_alias_name> or [Domain Name] -keyalg RSA -keystore chap8.keystore
(例如:keytool -genkey -alias tomcat -keyalg RSA -keystore chap8.keystore)
-
它会提示您为您的keystore设置一个密码,以及您的组织信息,当它要求您输入您的名字信息时,请不要输入您自己的名字,在这里输入您所要保护的网站的全称域名,如helpdesk.yourdomain.com。如果您订购了一个通配符证书,这里必须以 *
字符开始,如*.yourdomain.com。
- 在您完成所需的信息后,它会提示您确认信息的正确性,输入“y”或“yes”表示确定。
下一步,它会要求您确认您的密码,确保您已经记住了密码。您的创建的keystore文件将会被命名为chap8.keystore,并存储在您当前的工作目录中。
步骤2:创建CSR
- 接下来,您需要使用keytool来创建证书签名请求(CSR),请输入以下命令:
keytool -certreq -alias <your_alias_name> or [Domain Name] -file csr.txt -keystore chap8.keystore
(例如:keytool -certreq -alias tomcat -file csr.txt -keystore chap8.keystore)
- 输入您之前设置的keystore的密码
- 您的CSR文件csr.txt将会创建在您当前的目录下,使用文本编辑器打开CSR文件,复制并粘贴内容(包括BEGIN和END标记)到CA网站订单表格,请小心保存keystore文件(chap8.keystore),因为您的证书稍后需要安装到它。
步骤3:怎样安装SSL证书
- 从CA网站发送的邮件中下载您的证书文件,保存到您的keystore(chap8.keystore)所在的目录,这个证书必须安装到这个指定的keystore,如果您将其安装到其它的keystore,它将不起任何作用。您所下载的证书必须以正确的顺序安装到您的keystore,以便使您的证书可以被信任,如果安装顺序不正确,那么证书可能不能得到正确的认证。
- 安装根证书文件。
- 每当您在keystore上安装证书时,您都需要输入keystore的密码,即您在生成CSR时所设置的密码。
- 输入以下命令来安装根证书文件:
keytool -import -trustcacerts -alias root -file TrustedRoot.crt -keystore chap8.keystore
说明:如果看到提示“Certificate already exists in
system-wide CA keystore under alias <entrustsslca> Do you still want to add it to your own keystore?
[no]:” ,请输入“Yes”,之后您或看到一个确认消息:“Certificate was added to keystore”。
- 如果需要,请安装中间证书(请参阅CA提供的说明文档)
- 安装主证书文件:
keytool -import -trustcacerts -alias tomcat -file <your_domain_name>.crt -keystore chap8.keystore
这个时候您会得到一个稍微不同的提示信息“Certificate reply was installed in keystore”,如果它提示您是否要信任证书,请输入“y”或者“yes”。您的证书将安装到您的 keystore文件(keystore.key),之后您所要做的就是配置您的服务器来使用这个keystore文件。
|