启用SSL Web客户端

 

OpManager 8050及以后版本的操作步骤:

 

  1. 打开命令提示行(运行-> cmd)并转到opmanager/bin目录。
  2. 执行以下命令:
    ssl_gen.bat -f Enable

这样就成功启用了OpManager的签名SSL凭证。就可以使用相同的端口使用https访问了。

禁用SSL的步骤:

  1. 打开命令提示行(运行-> cmd)并转到opmanager/bin目录。
  2. 执行以下命令:
    ssl_gen.bat Disable

这样就成功禁用了OpManager SSL访问。就可以使用相同的端口使用http访问了。​

对于OpManager 8050之前版本的操作(在8050之前版本使用Apache作为Web服务器)

  1. 停止OpManager服务。
  2. 确保关闭了服务窗口。
  3. 打开命令提示行,转到opmanager/bin目录。
  4. 执行OpManagerService.bat,参数为-r,如下:

    OpManagerService.bat -r

    这将移除OpManager服务。
  5. 当命令提示行中,相同的目录中,执行ssl_gen.bat,这个脚本是用来创建SSL凭证。
  6. 然后执行OpManagerService.bat脚本来重新安装服务:

    OpManagerService.bat -i
     
  7. 重新启动OpManager服务,使用https访问。


启用NetFlow插件的SSL

启用SSL: 
    打开命令提示行(运行-> cmd)并转到opmanager/NetFlow/bin目录。
    执行以下命令:
    ssl_gen.bat -f Enable 


禁用SSL: 

    打开命令提示行(运行-> cmd)并转到opmanager/NetFlow/bin目录。
    执行以下命令:
    ssl_gen.bat Disable


在OpManager中启用第三方的SSL

 

  1. 打开命令提示行(运行-> cmd)并转到opmanager/bin目录。
  2. 先生成Keystore文件,执行以下命令并提供相应的信息来在conf目录中创建OpManager.truststore文件。
    >jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias opmanager  (回车)
    ​或者                                                
     >jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias opmanager  -keysize 2048   (使用2048位密钥)
    中文系统中命令输出如下(括号中为注释):
    ​​输入keystore密码:(输入这个keystore的密码,至少为6位,然后回车)
    您的名字与姓氏是什么?
    [Unknown]: (输入OpManager所运行服务器的名称,应该是FQDN(全称域名),例如:opmserver.manageengine.com)
    您的组织单位名称是什么?
    [Unknown]: (你组织单位的名称,例如:SYSADMIN)
    您所在的城市或区域名称是什么?
    [Unknown]: (你的组织名称,例如:Zoho Corp)
    您所在的城市或区域名称是什么?
    [Unknown]: (你所在城市名称,例如:Pleasanton)
    您所在的州或省份名称是什么?
    [Unknown]: (你所指省份名称,例如California)
    该单位的两字母国家代码是什么
    [Unknown]: (你国家代码,例如:US)
    CN=opmserver.manageengine.com, OU=SYSADMIN, O=Zoho Corp, L=Pleasanton, ST=California, C=US 正确吗?
    [否]: (检查你输入的信息是否正确,如果正确,输入汉字“是”,否则直接回车修改)
    正在为以下对象生成 1,024 位 RSA 密钥对和自签名证书 (SHA1withRSA)(有效期为 90 天):
          CN=opmserver.manageengine.com, OU=SYSADMIN, O=Zoho Corp, L=Pleasanton, ST=California, C=US
    输入<opmanager>的主密码
            (如果和 keystore 密码相同,按回车):​
    [正在存储 conf\OpManager.truststore]
  3. 生成CSR(凭证签名请求)文件。执行下面的命令在conf目录中生成opmssl.csr文件:
    >jre\bin\keytool.exe -v -certreq -file conf\opmssl.csr -keystore conf\OpManager.truststore -alias opmanager
    输入keystore密码:
    保存在文件中的认证要求 <conf\opmssl.csr>
    将此提交给您的CA​
  4. 从CA(证书管理机构)获取认证:
    联系证书管理机构,例如Verisign、Equifax,提交上步生成的csr文件来获取ssl认证。一般地,你需要复制csr文件的文本内容到他们的网站,在验证了你的请求后,一般会通过邮件回复认证内容,复制认证内容到文本文件中并修改文件名为ServerCert.cer,放到OpManager主目录中的conf文件夹中。注意在文件的底部不要添加多余的空行。
  5. 导入根和中间证书:
    在导入我们的证书之前,要先导入CA的根和中间证书到我们第二部生成的keystore文件。CA会告知你根和中证书的位置。保存为“CARoot.cer”和“CAIntermediate.cer”。一些CA可能会有多个中间证书。参考他们的详细说明。

    导入根证书:
    >jre\bin\keytool.exe -import -trustcacerts -file conf\CARoot.cer -keystore conf\OpManager.truststore -alias CARootCert
    输入keystore密码:(输入keystore密码)
    (将打印根证书信息)
    信任该证书?[否]:(输入汉字“是”)
    证书已经添加到keystore

    导入中间证书:
    >jre\bin\keytool.exe -import -trustcacerts -file conf\CAIntermediate.cer -keystore conf\OpManager.truststore -alias CAInterCert
    输入keystore密码:(输入keystore密码)
    证书已经添加到keystore
     
  6. 导入服务器证书。执行下面的命令:
    >jre\bin\keytool.exe -import -trustcacerts -file conf\ServerCert.cer -keystore conf\OpManager.truststore -alias opmanager输入keystore密码:(输入keystore密码)
    证书已经添加到keystore
  7. 配置Tomcat:
    1. 使用文本编辑工具打开OpManager主目录\tomcat\conf\backup中的ssl_server.xml文件。
    2. 搜索关键字“keystoreFile”,是connector标签的一个属性,设置其值:
      "WEBNMS_ROOT_DIR/conf/OpManager.truststore".
    3. 更改“keystorePass”属性值为你keystore文件的密码。
  8. 修改配置文件:
    1. 是文本编辑工具打开OpManager主目录conf文件夹中的“OpManagerStartUp.properties”文件。
    2. 设置“https”值为“Enable”。
  9. 启动OpManager服务器。连接https客户端。例如https://opmserver.manageengine.com:80

说明:
如果你已经有了使用Jave keytool工具生成的keystore文件申请的证书,你可以使用它配置SSL。服务该文件到OpManager主目录的conf文件夹中,重命名为“OpManager.truststore”,然后继续步骤5后面的步骤。

 

(如果以上命令执行出现问题,使用绝对路径,例如使用 ”c:\Program Files\Manageengine\OpManager\conf\OpManager.truststore"替换conf\OpManager.truststore)