Security - How To

首页 »

使用第三方SSL证书进行安全通信

说明

Desktop Central支持使用第三方SSL证书保证Desktop Central与代理之间的安全通信。

重要:

在导入第三方SSL证书前,请在Desktop Central的管理 --> 服务器设置中启用HTTPS通信。

请根据您所使用的Desktop Central版本执行以下相应的步骤:

适用于构建号#80344及以上的步骤

  1. 创建CSR和密钥文件
  2. 将CSR提交给证书颁发机构(CA)以获得CA签名的证书
  3. 更新Desktop Central中的SSL证书
  4. 转换并导入第三方PFX证书

创建CSR和密钥文件

要创建CSR和密钥文件,请执行以下步骤:

  1. 打开CMD命令进入<Desktop_Central_Home>/apache/bin
  2. 执行以下命令:
    openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.key -config ..\conf\openssl.cnf
  3. 出现提示后,输入生成CSR所需的信息。密钥生成部分的示例如下:

Loading 'screen' into random state - done
Generating a 2048 bit RSA private key
.....++++++
......++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:tamilnadu
Locality Name (eg, city) []:chennai
Organization Name (eg, company) [Internet Widgits Pvt Ltd]:manageengine
Organizational Unit Name (eg, section) []:desktopcentral
Common Name (eg, YOUR name) []:symphony.yourdomain.com. [This should be the same as you use to connect to the client。例如,if you use FQDN (https://symphony.yourdomain.com) to access this computer via browser, you should specify it the same way here as symphony.yourdomain.com.]
Email Address []:[Leave as empty]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[Leave as empty]
An optional company name []:[Leave as empty]

此操作在当前工作目录(<Desktop_Central_Home>/apache/bin)中创建名为server.key的密钥文件和名为server.csr的CSR文件。

将CSR提交给证书颁发机构(CA)以获得CA签名的证书

  • 将创建的server.csr提交给CA。查看他们的文档/网站查找有关提交CSR的方式,并向CA支付费用。
  • 此过程通常需要几天的时间,已签名的SSL证书和CA的链/中间证书将以.cer文件的形式发送给您。
  • 保存这些文件,然后将签名的SSL证书文件重命名为server.crt

更新Desktop Central中的SSL证书

  1. 停止Desktop Central服务,并备份位于<Desktop_Central_Home>/apache/conf目录的现有server.keyserver.crt文件。
  2. 将新创建的server.keyserver.crt根证书链/中间证书文件复制到<Desktop_Central_Home>/apache/conf目录。
  3. 根证书和链/中间证书文件的扩展名更改为.crt。
  4. 在Desktop Central中添加链/中间证书的详细信息。如果您的CA未提供任何链/中间文件,则可以跳过此步骤:
    1. 打开<Desktop_Central_Home>/conf/websettings.conf,将根证书和中间证书文件名添加到以下字段:
      • apache.ssl.root.ca.file=root.crt(root.crt是指您的CA提供的根证书)
      • apache.ssl.intermediate.ca.file=intermediate.crt(intermediate.crt是指您的CA提供的中间证书)
    2. 启动Desktop Central服务。

转换并导入第三方PFX证书

请按照以下步骤在Desktop Central中转换并导入第三方PFX证书:

  1. 进入<DesktopCentral_Server>/apache/conf文件夹并备份server.crtserver.key。建议安全存储这些文件。
  2. 复制您想要转换的PFX文件并将其粘贴到此位置:<DesktopCentral_Server>/apache/bin文件夹。
  3. 打开CMD命令进入<Desktop_Central_Home>/apache/bin
  4. 执行以下命令:
    1. openssl pkcs12 -in <PFX file Name with extension(pfx)> -clcerts -nokeys -out server.crt
      例:openssl pkcs12 -in test.pfx -clcerts -nokeys -out server.crt
    2. 出现提示时输入PFX密码。
    3. openssl pkcs12 -in <PFX file Name with extension(pfx)> -nocerts -nodes -out server_encrypted.key
      例:openssl pkcs12 -in test.pfx -nocerts -nodes -out server_encrypted.key
    4. 出现提示时输入PFX密码。
    5. 执行命令:openssl rsa -in server_encrypted.key -out server.key
  5. <DesktopCentral_Server>/apache/bin下新创建的server.crtserver.key复制到<DesktopCentral_Server>/apache/conf
  6. 重启Desktop Central服务。

您已成功在Desktop Central中转换并安装第三方PFX证书。如果安装证书后,Desktop Central服务无法启动,则还原之前备份的server.crtserver.key,正常启动Desktop Central服务后,联系Desktop Central技术支持mes@zohocorp.com.cn。

适用于构建号#80344以下版本的步骤

创建CSR和密钥文件

要创建CSR和密钥文件,请执行以下步骤:

  1. 打开CMD命令进入<Desktop_Central_Home>/apache/bin
  2. 执行以下命令:
    openssl req -new -newkey rsa:2048 -nodes -out server.csr -keyout server.key -config ..\conf\openssl.cnf
  3. 出现提示后,输入生成CSR所需的信息。密钥生成部分的示例如下:

Loading 'screen' into random state - done
Generating a 2048 bit RSA private key
.....++++++
......++++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:IN
State or Province Name (full name) [Some-State]:tamilnadu
Locality Name (eg, city) []:chennai
Organization Name (eg, company) [Internet Widgits Pvt Ltd]:manageengine
Organizational Unit Name (eg, section) []:desktopcentral
Common Name (eg, YOUR name) []:symphony.yourdomain.com. [This should be the same as you use to connect to the client。例如,if you use FQDN (https://symphony.yourdomain.com) to access this computer via browser, you should specify it the same way here as symphony.yourdomain.com.]
Email Address []:[Leave as empty]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:[Leave as empty]
An optional company name []:[Leave as empty]

此操作在当前工作目录(<Desktop_Central_Home>/apache/bin)中创建名为server.key的密钥文件和名为server.csr的CSR文件。

将CSR提交给证书颁发机构(CA)以获得CA签名的证书

  • 将创建的server.csr提交给CA。查看他们的文档/网站查找有关提交CSR的方式,并向CA支付费用。
  • 此过程通常需要几天的时间,已签名的SSL证书和CA的链或中间证书将以.cer文件的形式发送给您。
  • 保存这些文件,然后将签名的SSL证书文件重命名为server.crt

更新Desktop Central中的SSL证书

  1. 停止Desktop Central服务,并备份位于<Desktop_Central_Home>/apache/conf目录的现有server.keyserver.crt文件。
  2. 将新创建的server.keyserver.crt链/中间证书文件复制到<Desktop_Central_Home>/apache/conf目录。
  3. 链/中间证书文件的扩展名更改为.crt。
  4. 在Desktop Central中添加链/中间证书的详细信息。如果您的CA未提供任何链/中间文件,则可以跳过此步骤:
    1. 打开<Desktop_Central_Home>/apache/conf/httpd-ssl.conf.template并添加此行:

      SSLCACertificateFile "%SERVER_HOME%/apache/conf/intermediateCA.crt" [这里 intermediateCA.crt是您的链/中间证书名称。]

    2. 打开<Desktop_Central_Home>/apache/conf/httpd-ssl.conf并添加此行:

      SSLCACertificateFile "C:/Program Files/DesktopCentral_Server/apache/conf/intermediateCA.crt [这里intermediateCA.crt是您的链/中间证书名称。请确保指定您的链/中间证书文件的绝对路径。]

    3. 启动Desktop Central服务。

转换并导入第三方PFX证书

请按照以下步骤在Desktop Central中转换并安装第三方PFX证书:

  1. 进入<DesktopCentral_Server>/apache/conf文件夹并备份server.crtserver.key。建议安全存储这些文件。
  2. 复制您想要转换的PFX文件并将其粘贴到此位置:<DesktopCentral_Server>/apache/bin文件夹。
  3. 打开CMD,命令进入<Desktop_Central_Home>/apache/bin
  4. 执行以下命令:
    1. openssl pkcs12 -in <PFX file Name with extension(pfx)> -clcerts -nokeys -out server.crt
      例:openssl pkcs12 -in test.pfx -clcerts -nokeys -out server.crt
    2. 出现提示时输入PFX密码。
    3. openssl pkcs12 -in <PFX file Name with extension(pfx)> -nocerts -nodes -out server_encrypted.key
      例:openssl pkcs12 -in test.pfx -nocerts -nodes -out server_encrypted.key
    4. 出现提示时输入PFX密码。
    5. 执行命令:openssl rsa -in server_encrypted.key -out server.key
  5. <DesktopCentral_Server>/apache/bin下新创建的server.crtserver.key复制到<DesktopCentral_Server>/apache/conf
  6. 重启Desktop Central服务。

您已成功在Desktop Central中转换并安装第三方PFX证书。如果安装证书后,Desktop Central服务无法启动,则还原之前备份的server.crt和server.key,正常启动Desktop Central服务后,联系Desktop Central技术支持mes@zohocorp.com.cn。。

 
操作演示
 

我们的客户