SSL(安全套接层)证书是一种数字证书,用于确保客户端系统与对应Server之间共享数据的真实性、完整性和加密性。因此,为了提升网络安全性并遵循政府强制要求的合规框架,用户必须启用其 SSL 证书。启用 SSL 被认为是最佳安全实践之一,因为这可以让您的网络不易受到网络攻击。要在 OpManager 中启用 SSL,请按照以下步骤操作。
以下是 OpManager 中 SSL 配置操作的列表:
在 8050 版本中,我们已从 OpManager 中移除了 Apache。请按照以下步骤启用 SSL:
执行以下命令
ssl_gen.bat -f Enable
您已成功为 OpManager 启用了自签名 SSL 证书。现在,您可以在相同的端口号上通过 https:// 访问 OpManager Web 客户端。
执行以下命令
ssl_gen.bat Disable
这将为 OpManager 禁用 SSL。Web 客户端可以在相同的端口号上通过 http:// 进行访问。
执行以下命令
ssl_gen.bat -f Enable
执行以下命令
ssl_gen.bat Disable
生成 Keystore 文件。 执行以下命令并根据提示提供相关信息,以在 conf 文件夹下创建 OpManager.truststore 文件。
>jrebin\keytool.exe -v -genkey -keyalg RSA -keystore OpManager.truststore -alias OpManager (按 Enter)
(或)
>jre\bin\keytool.exe -v -genkey -keyalg RSA -keystore conf\OpManager.truststore -alias OpManager -keysize 2048 (用于 2048 位密钥)
Enter keystore password:(为此 keystore 输入密码,至少 6 个字符长。按 Enter)
What is your first and last name?
[Unknown]:(输入运行 OpManager 的 Server 名称。必须是 FQDN(完全限定域名),例如:opmServer.manageengine.com。按 Enter。)
What is the name of your organizational unit?
[Unknown]:(您的组织单元名称。例如:SYSADMIN。按 Enter。)
What is the name of your organization?
[Unknown]:(您的组织名称。例如:Zoho Corp。按 Enter。)
What is the name of your City or Locality?
[Unknown]:(您的城市名称。例如:Pleasanton。按 Enter。)
What is the name of your State or Province?
[Unknown]:(您的州/省名称。例如:California。按 Enter。)
What is the two-letter country code for this unit?
[Unknown]:(您所在国家的两位字母代码。例如:US。按 Enter。)
Is CN=opmServer.manageengine.com, OU=SYSADMIN, O=Zoho Corp, L=Pleasanton, ST=California, C=US correct?
[no]:(检查信息,如果正确请输入 yes 并按 Enter,否则直接按 Enter 进行修改)
Generating 1,024 bit RSA key pair and self-signed certificate (MD5WithRSA)
for CN=opmServer.manageengine.com, OU=SYSADMIN, O=Zoho Corp, L=Pleasanton, ST=California, C=US
Enter key password for <OpManager>
(RETURN if same as keystore password):(直接按 Enter。对于 Tomcat,keystore 密码与密钥(别名)密码必须相同)
[Storing confOpManager.truststore]
生成 CSR 文件(证书签名请求)。执行以下命令在 conf 文件夹下创建 opmssl.csr 文件:
>jre\bin\keytool.exe -v -certreq -file conf\opmssl.csr -keystore conf\OpManager.truststore -alias OpManager
Enter keystore password: (输入 keystore 文件的密码)
Certification request stored in file <confopmssl.csr>
将此文件提交给您的 CA
导入根证书和中级证书:
在导入我们的证书之前,必须先将 CA 的根证书和中级证书导入第二步生成的 keystore 文件中。在向您发送证书时,CA 会提供其根证书和中级证书的链接。将它们分别以 "CARoot.cer" 和 "CAIntermediate.cer" 的名称保存在 conf 目录下。某些 CA 可能有两个或更多的中级证书,请在导入前仔细阅读其文档。
导入根证书
>jre\bin\keytool.exe -import -trustcacerts -file conf\CARoot.cer -keystore conf\OpManager.truststore -alias CARootCert
Enter keystore password:(输入 keystore 密码)
(将打印根证书信息)
Trust this certificate? [no]:(如果确认为您 CA 的证书,请输入 yes 并按 Enter)
Certificate was added to keystore
导入中级证书
>jre\bin\keytool.exe -import -trustcacerts -file conf\CAIntermediate.cer -keystore conf\OpManager.truststore -alias CAInterCert
Enter keystore password:(输入 keystore 密码)
Certificate was added to keystore
导入 Server 证书。执行以下命令,将从 CA 收到的证书添加到 keystore 文件中:
>jre\bin\keytool.exe -import -trustcacerts -file conf\ServerCert.cer -keystore conf\OpManager.truststore -alias OpManager
Enter keystore password:(输入 keystore 密码)
Certificate reply was installed in keystore
注意:
如果您已经为该 Server 拥有证书,并且该证书是使用 Java keytool 生成的 keystore 文件申请的,那么您可以直接将其用于 SSL 配置。只需将 keystore 文件复制到 OpManager_Homeconf 目录下,并重命名为 “OpManager.truststore”,然后从第 5 步开始操作。
(在上述所有位置中,请提供 conf\OpManager.truststore 的完整路径,例如:c:\ProgramFiles\Manageengine\OpManager\conf\OpManager.truststore,而不是仅使用 conf\OpManager.truststore)
感谢您的反馈!