大幅节省,更好的投资回报! ManageEngine产品的独家折扣!* 提升您的业务 *条款与条件适用
  • 首页
  • 管理设置
  • 安全套接字层 (SSL)
  • 启用SSL的步骤
点击这里收缩
点击这里展开 点击这里展开

启用SSL的步骤

以下步骤将指导您在ADAudit Plus中启用SSL。

步骤1:定义SSL端口

  • 使用具有管理权限的帐户登录ADAudit Plus。
  • 导航到 管理员 > 一般设置 > 连接 .
  • 勾选 启用 SSL 端口 [https] 选项框。默认端口号 8444 会自动选择。
  • 点击 保存更改
  • 重启 ADAudit Plus 以使更改生效。

注意:如果您想安装现有的 PFX 或 PKCS #12 证书,请跳到 第 5 步中的 PFX 或 PKCS #12 格式部分

启用 SSL 的步骤

步骤 2:创建密钥库

密钥库是一个受密码保护的文件,包含用于加密和解密数据的密钥和证书。

  • 要创建证书密钥库文件并生成加密密钥,请以管理员身份运行 命令提示符,导航到 <product_installation_directory>\jre\bin,并执行以下命令:

    keytool -genkey -alias tomcat -keyalg RSA -validity 1000 -keystore <domainName>.keystore

    将 <domainName> 替换为您域的名称。

  • 输入您的密钥库密码。
  • 根据以下指南提供信息:
    您的名和姓是什么? 提供承载 ADAudit Plus 的服务器的机器名称或完全合格域名。
    您的组织单位名称是什么? 输入您希望在证书中出现的部门名称。
    您的组织名称是什么? 提供您组织的法定名称。
    您的城市或地点名称是什么? 输入您组织注册地址中的城市名称。
    您的州或省名称是什么? 输入您组织注册地址中的州或省。
    该单位的两字母国家代码是什么? 提供您组织所在国家的两字母代码。
    输入 <tomcat> 的密钥密码 输入与密钥库密码相同的密码。 注意:如果您选择输入不同的密码,请记下,因为稍后将需要密钥密码。

启用 SSL 的步骤

步骤 3:生成证书签名请求 (CSR)

要创建带有主题备用名称 (SAN) 的 CSR,请在命令提示符中执行以下命令:

keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:server_name,dns:server_name.domain.com,dns:server_name.domain1.com -keystore <domainName>.keystore -file <domainName>.csr

将 <domainName> 替换为您的域名,并提供如下图所示的适当 SANs:

启用SSL的步骤

步骤 4:颁发 SSL 证书

在此步骤中,您将连接到证书颁发机构 (CA),将 CSR 提交给特定的 CA,并获得颁发给您的 SSL 证书。

A. 使用外部 CA 颁发 SSL 证书

  • 要向外部 CA 请求证书,请将 CSR 提交给该 CA。您可以在 <product_installation_directory>\jre\bin 文件夹中找到 CSR 文件。
  • 解压 CA 返回的证书,并将其放入 <product_installation_directory>\jre\bin 文件夹中。

注意:外部 CA 颁发 SSL 证书后,请继续进行 步骤 5 来安装证书。

B. 使用内部 CA 颁发 SSL 证书

内部 CA 是已被分配 CA 角色的特定域中的成员服务器或域控制器。

  • 连接到您内部 CA 的 Microsoft Active Directory 证书服务,然后点击 请求证书 链接。

    启用SSL的步骤

  • 在请求证书页面,单击 高级证书请求 链接。

    启用SSL的步骤

  • 在提交证书请求或续订请求页面中,将 CSR 文件中的内容复制并粘贴到 保存的请求 字段中。
  • 证书模板 下选择 Web 服务器 或适用的 Tomcat 模板,然后单击 提交

    启用SSL的步骤

  • 当您单击 下载证书链 链接时,证书将被颁发。下载的证书将为 P7B 文件格式。

    启用SSL的步骤

  • 将 P7B 文件复制到 <product_installation_directory>\jre\bin 文件夹中。

步骤 5:导入证书

请按照以下步骤操作,以适应您要导入证书的格式。

A. 隐私增强邮件(PEM)格式

要以PEM格式将证书导入密钥库文件,请打开 命令提示符,导航到 <product_installation_directory>\jre\bin,然后运行适用于您的CA的以下命令列表中的命令。

通用命令

  • keytool -importcert -alias root -file <root.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
  • keytool -importcert -alias intermediate -file <intermediate.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
  • keytool -importcert -alias intermediat2 -file <intermediat2.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
  • keytool -importcert -alias tomcat -file <server.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts

特定供应商的命令

对于GoDaddy证书

  • keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
  • keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
  • keytool -import -alias intermed -keystore <domainName>.keystore -trustcacerts -file gd_intermed.crt
  • keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.crt

对于Verisign证书

  • keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
  • keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.cer

对于Comodo证书

  • keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
  • keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
  • keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <domainName>.keystore
  • keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore

对于Entrust证书

  • keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts -file entrust_root.cer
  • keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> - trustcacerts -file entrust_2048_ssl.cer
  • keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domainName.cer>/li>

对于通过Thawte经销商渠道购买的证书

  • keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
  • keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <keystore-name.keystore>
  • keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>

安装证书后,请继续进行 步骤6 将证书绑定到ADAudit Plus。

注意:如果您从未在上述列表中列出的CA那里收到证书,请联系您的CA以获取将其证书添加到密钥库所需的命令。

B. P7B或PKCS #7格式

要将证书以 P7B 或 PKCS #7 格式导入到密钥库文件中,请打开命令提示符,导航到 <product_installation_directory>\jre\bin,并执行以下命令:

keytool -import -trustcacerts -alias tomcat -file certnew.p7b -keystore <keystore_name>.keystore

安装证书后,请继续到 步骤 6 将证书绑定到 ADAudit Plus。

C. PFX 或 PKCS #12 格式

  • 将您的 PFX 或 PKCS #12 文件复制并保存到 <product_installation_directory>\conf 文件夹中。
  • 使用本地文本编辑器打开 <product_installation_directory>\conf 文件夹中的 server.xml 文件。创建现有 server.xml 文件的备份,以防您需要恢复它。
  • 找到包含 <Connector ... SSLEnabled="true"... name="SSL".../> 的连接器标签。
  • 在连接器标签内,进行以下更改:
    • 将 keystoreFile 的值替换为 "./conf/<YOUR_CERT_FILE.pfx>"。
    • 添加 keystoreType="PKCS12"
  • 保存并关闭 server.xml 文件。
  • <Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/<YOUR_CERT_FILE.pfx>" keystorePass="*********" keystoreType="PKCS12"maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="8444" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
注意: 修改 server.xml 文件后,请跳至 步骤 6 中的 "加密密钥库密码" 部分。

步骤 6:将证书绑定到 ADAudit Plus

  • <product_installation_directory>\jre\bin 文件夹中复制 <domainName>.keystore 文件,并将其粘贴到 <product_installation_directory>\conf 文件夹中。
  • 使用本地文本编辑器打开 <product_installation_directory>\conf 文件夹中的 server.xml 文件。创建现有 server.xml 文件的备份,以防您需要恢复它。
  • 找到包含 <Connector ... SSLEnabled="true"... name="SSL".../> 的连接器标签。
  • 在连接器标签内,将 keystoreFile 的值替换为 "./conf/<Your_Domain_Name>.keystore"。
  • <Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/<Your_Domain_Name>.keystore" keystorePass="*********" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="8444" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
  • 保存并关闭server.xml文件。

加密密钥库密码

  • 登录到您的ADAudit Plus网页控制台并导航到管理员 > 常规设置 > 连接
  • 选择常规标签,勾选加密密钥库密码框,并输入您在生成此证书文件的CSR时使用的密钥库密码。
  • 点击保存更改
  • 再次重启ADAudit Plus以使更改生效。
注意: 如果您想修改TLS版本和密码属性,请参考我们的安全加固指南

步骤以启用SSL

获取下载链接