启用SSL的步骤
以下步骤将指导您在ADAudit Plus中启用SSL。
步骤1:定义SSL端口
- 使用具有管理权限的帐户登录ADAudit Plus。
- 导航到 管理员 > 一般设置 > 连接
.
- 勾选 启用 SSL 端口 [https] 选项框。默认端口号 8444 会自动选择。
- 点击 保存更改。
- 重启 ADAudit Plus 以使更改生效。
注意:如果您想安装现有的 PFX 或 PKCS #12 证书,请跳到 第 5 步中的 PFX 或 PKCS #12 格式部分。

步骤 2:创建密钥库
密钥库是一个受密码保护的文件,包含用于加密和解密数据的密钥和证书。
步骤 3:生成证书签名请求 (CSR)
要创建带有主题备用名称 (SAN) 的 CSR,请在命令提示符中执行以下命令:
keytool -certreq -alias tomcat -keyalg RSA -ext SAN=dns:server_name,dns:server_name.domain.com,dns:server_name.domain1.com -keystore <domainName>.keystore -file <domainName>.csr
将 <domainName> 替换为您的域名,并提供如下图所示的适当 SANs:
步骤 4:颁发 SSL 证书
在此步骤中,您将连接到证书颁发机构 (CA),将 CSR 提交给特定的 CA,并获得颁发给您的 SSL 证书。
A. 使用外部 CA 颁发 SSL 证书
- 要向外部 CA 请求证书,请将 CSR 提交给该 CA。您可以在 <product_installation_directory>\jre\bin 文件夹中找到 CSR 文件。
- 解压 CA 返回的证书,并将其放入 <product_installation_directory>\jre\bin 文件夹中。
注意:外部 CA 颁发 SSL 证书后,请继续进行 步骤 5 来安装证书。
B. 使用内部 CA 颁发 SSL 证书
内部 CA 是已被分配 CA 角色的特定域中的成员服务器或域控制器。
- 连接到您内部 CA 的 Microsoft Active Directory 证书服务,然后点击 请求证书 链接。
- 在请求证书页面,单击 高级证书请求 链接。
- 在提交证书请求或续订请求页面中,将 CSR 文件中的内容复制并粘贴到 保存的请求 字段中。
- 在 证书模板 下选择 Web 服务器 或适用的 Tomcat 模板,然后单击 提交。
- 当您单击 下载证书链 链接时,证书将被颁发。下载的证书将为 P7B 文件格式。
- 将 P7B 文件复制到 <product_installation_directory>\jre\bin 文件夹中。
步骤 5:导入证书
请按照以下步骤操作,以适应您要导入证书的格式。
A. 隐私增强邮件(PEM)格式
要以PEM格式将证书导入密钥库文件,请打开 命令提示符,导航到 <product_installation_directory>\jre\bin,然后运行适用于您的CA的以下命令列表中的命令。
通用命令
- keytool -importcert -alias root -file <root.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
- keytool -importcert -alias intermediate -file <intermediate.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
- keytool -importcert -alias intermediat2 -file <intermediat2.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
- keytool -importcert -alias tomcat -file <server.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
特定供应商的命令
对于GoDaddy证书
- keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
- keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
- keytool -import -alias intermed -keystore <domainName>.keystore -trustcacerts -file gd_intermed.crt
- keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.crt
对于Verisign证书
- keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
- keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.cer
对于Comodo证书
- keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
- keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
- keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <domainName>.keystore
- keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore
对于Entrust证书
- keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts -file entrust_root.cer
- keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> - trustcacerts -file entrust_2048_ssl.cer
- keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domainName.cer>/li>
对于通过Thawte经销商渠道购买的证书
- keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
- keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <keystore-name.keystore>
- keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>
安装证书后,请继续进行 步骤6 将证书绑定到ADAudit Plus。
注意:如果您从未在上述列表中列出的CA那里收到证书,请联系您的CA以获取将其证书添加到密钥库所需的命令。
B. P7B或PKCS #7格式
要将证书以 P7B 或 PKCS #7 格式导入到密钥库文件中,请打开命令提示符,导航到 <product_installation_directory>\jre\bin,并执行以下命令:
keytool -import -trustcacerts -alias tomcat -file certnew.p7b -keystore <keystore_name>.keystore
安装证书后,请继续到
步骤 6 将证书绑定到 ADAudit Plus。
C. PFX 或 PKCS #12 格式
- 将您的 PFX 或 PKCS #12 文件复制并保存到 <product_installation_directory>\conf 文件夹中。
- 使用本地文本编辑器打开 <product_installation_directory>\conf 文件夹中的 server.xml 文件。创建现有 server.xml 文件的备份,以防您需要恢复它。
- 找到包含 <Connector ... SSLEnabled="true"... name="SSL".../> 的连接器标签。
- 在连接器标签内,进行以下更改:
- 将 keystoreFile 的值替换为 "./conf/<YOUR_CERT_FILE.pfx>"。
- 添加 keystoreType="PKCS12"。
- 保存并关闭 server.xml 文件。
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/<YOUR_CERT_FILE.pfx>" keystorePass="*********" keystoreType="PKCS12"maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL" port="8444" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
注意: 修改 server.xml 文件后,请跳至
步骤 6 中的 "
加密密钥库密码" 部分。
步骤 6:将证书绑定到 ADAudit Plus
- 从 <product_installation_directory>\jre\bin 文件夹中复制 <domainName>.keystore 文件,并将其粘贴到 <product_installation_directory>\conf 文件夹中。
- 使用本地文本编辑器打开 <product_installation_directory>\conf 文件夹中的 server.xml 文件。创建现有 server.xml 文件的备份,以防您需要恢复它。
- 找到包含 <Connector ... SSLEnabled="true"... name="SSL".../> 的连接器标签。
- 在连接器标签内,将 keystoreFile 的值替换为 "./conf/<Your_Domain_Name>.keystore"。
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" clientAuth="false" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" keystoreFile="./conf/<Your_Domain_Name>.keystore" keystorePass="*********" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" name="SSL"
port="8444" scheme="https" secure="true" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" sslProtocol="TLS"/>
- 保存并关闭server.xml文件。
加密密钥库密码
- 登录到您的ADAudit Plus网页控制台并导航到管理员 > 常规设置 > 连接。
- 选择常规标签,勾选加密密钥库密码框,并输入您在生成此证书文件的CSR时使用的密钥库密码。
- 点击保存更改。
- 再次重启ADAudit Plus以使更改生效。
注意: 如果您想修改TLS版本和密码属性,请参考我们的
安全加固指南。
