SSL 配置指南

注意：通过遵循产品控制台中给出的步骤应用您的 SSL 证书 连接设置 帮助页面。

将安全套接字层（SSL）证书应用于 DataSecurity Plus，可确保用户的 web 浏览器和 DataSecurity Plus 服务器之间的所有数据传输保持安全。 本指南说明启用 DataSecurity Plus SSL 的步骤。

启用 SSL 的步骤：

1. 创建密钥库文件
2. 创建并提交证书签名请求
3. 向证书颁发机构请求签名证书
   • 来自 Microsoft Certificate Services（内部 CA）
   • 来自外部 CA
     • GoDaddy 证书
     • Verisign 证书
     • Comodo 证书
     • Entrust 证书
     • Thawte 证书
4. 将 SSL 证书绑定到 DataSecurity Plus
   • 在 DataSecurity Plus 控制台中定义 SSL 端口
   • 安装 SSL 证书
5. 常用证书类型的安装说明
   • 安装 .p7b 证书
   • 安装 .pfx 证书

1. 创建密钥库文件

密钥库是一个存储库，包含在客户端和服务器建立连接后加密和解密数据所需的公钥和私钥。

下面的步骤详细说明了创建密钥库的过程：

• 从以下位置打开命令提示符 <installation_directory>\ManageEngine\DataSecurity Plus\jre\bin。
• 然后，在命令提示符中执行以下任一命令以创建 Tomcat 专用的证书密钥库文件，本文档其余部分将称之为 <domainName>.keystore 。
  • 命令 1： 创建不带主题备用名称（SAN）的密钥库：

  keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName>.keystore

  • 命令 2： 一些浏览器，如 Google Chrome 和 Microsoft Edge，需要 SAN。 要创建带 SAN 的密钥库，请执行以下命令：

  keytool -genkey -alias tomcat -keypass <your key password> -keyalg RSA -validity 1000 -keystore <domainName>.keystore -ext SAN=dns:servername.domainName

  
  
• 替换 <your key password> 为您选择的密码， <domainName> 为您的域名。
• 提示时，输入密钥库密码。
• 根据以下指南填写信息：

序号	问题	答案
1	请输入名字和姓氏？	提供 NetBIOS （如果 DNS 域名为 test.example.com，则 NetBIOS 域名为 test）或 FQDN 名称 （假设的邮件服务器 FQDN 可能是 mymail.example.com。主机名是 mymail，主机位于 domain example.com 内）运行 DataSecurity Plus 的服务器。
2	您的组织单位名称是什么？	输入您希望显示在证书中的部门名称。
3	您的组织名称是什么？	提供您的组织法定名称。
4	您所在城市名称是什么？	输入您组织注册地址的城市名。
5	您所在省/州名称？	输入您组织注册地址的省或州。
6	您的国家代码是什么？	提供您组织所在国家的两字母代码。

2. 创建并提交证书签名请求

.csr 文件是临时文件，应提交给证书颁发机构（CA）以获取 CA 签名证书文件。以下步骤详细说明了创建 文件的过程。 文件是临时文件，应提交给证书颁发机构（CA）以获取 CA 签名证书文件。以下步骤详细说明了创建 2.1 创建证书签名请求（CSR）

创建 CSR 有两种方法。

方法 1：

从安装位置创建 文件： 文件是临时文件，应提交给证书颁发机构（CA）以获取 CA 签名证书文件。以下步骤详细说明了创建 打开命令提示符。

• 在位置
• <installation directory>\ManageEngine\DataSecurity Plus\jre\bin 执行以下命令：keytool -certreq -alias tomcat -keyalg RSA -keystore <domainName>.keystore -file <domainName>.csr

方法 2：

如果您使用 Google Chrome、Microsoft Edge 或其他需要带有 SAN 的 CSR 的浏览器，请执行以下步骤： 执行以下命令：

• 在位置
• keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:server_name,dns:server_name.domain.com,dns:server_name.domain1.com -keystore <domainName>.keystore -file <domainName>.csr

在以上命令中，替换

为您的域名，并提供适当的主题备用名称。 <domainName> 2.2 将 CSR 提交给您的 CA

创建的 CSR 文件可在

找到。将此文件提交给您的 CA。 执行以下命令：3. 向证书颁发机构请求签名证书

以下步骤说明如何连接到 CA、提交 CSR、获取 SSL 证书并导入。

3.1 来自 Microsoft Certificate Services（内部 CA）

对于内部 CA：

连接到 Microsoft Certificate Services，然后点击

• Request a certificate 点击.
• Advanced certificate request ，然后选择Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file 使用文本编辑器打开.
• 文件，复制内容并粘贴到 文件是临时文件，应提交给证书颁发机构（CA）以获取 CA 签名证书文件。以下步骤详细说明了创建 Saved Request 下。然后选择 Web Server 作为Certificate Template ，并点击, and click 提交.
• 点击 下载证书链 链接以下载已签发的 PKCS #7 证书 输入 <安装目录>\ManageEngine\DataSecurity Plus\jre\bin 文件夹。下载的证书将以 .p7b 格式保存。
• Advanced certificate request 首页 位于右上角，然后点击 下载CA证书、链证书或CRL.
• Advanced certificate request 下载CA证书 以下载并保存根证书，格式为 .cer 格式
• 复制 .cer 文件到 <安装目录>\ManageEngine\DataSecurity Plus\jre\bin 位置。
• 使用命令提示符导航到 执行以下命令： ，并执行以下命令将证书导入您的 .keystore 文件：

  Keytool –import –trustcacerts –alias tomcat –file certnew.p7b –keystore <keystore_name>.keystore

• 替换 <keystore_name> 替换为您的密钥库名称。
• 在同一位置，执行以下命令将内部CA的根证书添加到Java cacerts文件中受信任的CA列表：

  keytool -import -alias <internal CA_name> -keystore ..\lib\security\cacerts -file certnew.cer

注意： 文件，复制内容并粘贴到 certnew.cer 要获取内部CA名称，请提供 changeit 作为密钥库密码（提示时输入）。

3.2 来自外部CA

以下步骤描述了如何请求和导入由一些常见供应商签名的证书。

• 若要请求外部CA的证书，请向该CA提交CSR。
• 解压CA返回的证书，并将其保存在 <安装目录>\ManageEngine\DataSecurity Plus\jre\bin 文件夹中。
• 打开命令提示符并导航到 <安装目录>\ManageEngine\DataSecurity Plus\jre\bin 文件夹中。
• 运行您CA下列出的命令：
  • 适用于GoDaddy证书
    • keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
    • keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
    • keytool -import -alias intermed -keystore <domainName>.keystore trustcacerts -file gd_intermed.crt
    • keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.crt
  • 适用于Verisign证书
    • keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
    • keytool -import -alias tomcat -keystore <domainName>.keystore trustcacerts -file <domainName>.cer
  • 适用于Comodo证书
    • keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
    • keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
    • keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <domainName>.keystore
    • keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore
  • 适用于Entrust证书
    • keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts -file entrust_root.cer
    • keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> trustcacerts -file entrust_2048_ssl.cer
    • keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domain-name.cer>
  • 适用于Thawte证书

    直接从Thawte购买

    • keytool -import -trustcacerts -alias tomcat -file <certificate-name.p7b> -keystore <keystore-name.keystore>

    通过Thawte转销商渠道购买

    • keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
    • keytool -import -trustcacerts -alias tomcat -file <SSL_SecondaryCA.cer> trustcacerts -file entrust_2048_ssl.cer
    • keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>

注意： 这些说明可能会根据CA颁发的证书有所变动。如果您收到的证书来自上述未列出的CA，请联系您的CA以获取将证书添加到密钥库所需的命令。

4. 将SSL证书绑定至DataSecurity Plus

以下步骤说明如何配置DataSecurity Plus服务器以使用包含您的SSL证书的密钥库。

4.1 在DataSecurity Plus控制台中定义SSL端口

按照以下步骤定义DataSecurity Plus将使用的HTTPS端口：

• 使用具有管理员权限的账户登录DataSecurity Plus控制台。
• 从应用程序下拉菜单中选择 管理 并导航至 常规设置 > 连接.
• 选择 DataSecurity Plus门户（HTTPS） 作为 连接类型。然后输入您计划用于DataSecurity Plus的端口号并保存更改。

  注意： 9163是DataSecurity Plus使用的默认HTTPS端口号。

• 重启DataSecurity Plus。

4.2 安装SSL证书

按照以下步骤安装SSL证书：

• 复制 <domainName>.keystore 从 <安装目录>\ManageEngine\DataSecurity Plus\jre\bin 文件夹中复制文件，并保存到 <安装目录>\ManageEngine\DataSecurity Plus\conf 文件夹.
• 文件，复制内容并粘贴到 server.xml 文件，位于 <安装目录>\ManageEngine\DataSecurity Plus\conf 中，使用文本编辑器打开，并导航到最后一个连接器标签。
• 替换 将 keystoreFile 替换为 ./conf/<domainName>.keystore 并将 keystorePass 替换为创建密钥库时提供的密码。
• 保存 server.xml 文件并关闭。
• 重启DataSecurity Plus （开始 > 所有程序 > DataSecurity Plus > 启动 DataSecurity Plus） 使更改生效，然后启动DataSecurity Plus客户端。

5. 常见证书类型的说明

本节提供使用.p7b和.pfx证书文件类型配置SSL的步骤。

5.1 安装.p7b证书

大多数CA会提供扩展名为 .p7b的证书。安装此类文件，请按照以下步骤操作：

• 双击该文件打开控制台，显示所有所需证书。
• 右键点击证书，导航到 所有任务 > 导出.
• 将弹出证书导出向导对话框。点击 下一步.
• 选择导出文件格式为 Base-64编码的X.509（.cer）。点击 下一步.
• 指定您要导出的文件名，点击 下一步.
• 检查设置，点击 完成。然后点击 确定.
• 使用您的CA提供的步骤和命令，将此证书文件添加到密钥库中。
• 继续执行第4节。

5.2 安装.pfx证书

执行第4.1节后，按照以下步骤安装扩展名为.pfx的证书：

• 停止DataSecurity Plus服务。
• 复制 .pfx 文件到 <安装目录>\ManageEngine\DataSecurity Plus\conf 文件夹中。
• 文件，复制内容并粘贴到 server.xml 文件，位于 <安装目录>\ManageEngine\DataSecurity Plus\conf 中，使用文本编辑器打开，并导航到最后一个连接器标签。
• 替换 将 keystoreFile 替换为 .pfx 文件名，并在文件名后输入 keystoreType="pkcs12" 。替换 keystorePass 替换为 密码 为 .pfx 2.1 创建证书签名请求（CSR）
• 保存 server.xml 文件并关闭。
• 重启DataSecurity Plus （开始 > 所有程序 > DataSecurity Plus > 启动 DataSecurity Plus） 使更改生效，然后启动DataSecurity Plus客户端。