连接设置
最后更新于:
本页面内容
这些设置用于与产品连接相关的一般配置,例如访问权限、证书和代理设置。这些配置可实现对产品服务器的安全访问。
概述
SSL设置页面可配置产品与客户端系统间的加密通信。通过启用SSL及管理证书,可确保数据传输加密、防止未经授权访问并符合安全标准。配置选项包括:选择连接类型(HTTP/HTTPS)、通过内置SSL证书工具管理证书、设置代理服务器,以及在需要时提取EventLog Analyzer证书。
什么是SSL?
SSL(安全套接层)是一种加密技术,用于保障网站与访客浏览器间的数据交换安全。通常用户与网站交互时(例如提交信用卡信息),数据会以明文形式传输至服务器,极易遭受窃取!
反之,若数据经过加密处理,窃听者将无法读取内容!因此,使用SSL保护网站安全至关重要!
证书与认证机构(CA)
SSL证书:
这是企业的数字身份凭证,确保访客仅与目标网站通信,且提交至该站点的所有数据均经加密处理,仅能抵达目标站点。该机制类似银行通过签名识别客户。在此场景中,浏览器(即终端用户)被预设为信任CA颁发的证书。
认证机构:
- 监管机构通过标准政策为域名颁发证书,宣告其可信度。每份证书均与被认证企业唯一对应,便于身份识别。
- CA在为企业签发证书前会验证所有必要信息,并持续更新其记录,从而增强可信度。
- 知名CA包括威瑞信、Comodo及GoDaddy等。
密钥库
密钥库专为存储各类加密信息而设计。
证书签发请求(CSR)
- CA为企业生成SSL证书时,首先收集企业信息及其他标识符(如公钥/数字签名),随后将其与证书(可能是加密令牌等形式)绑定,从而生成该企业的唯一标识符。
- 因此每个证书签发流程都始于企业的"证书申请"。CA将此流程称为"证书签名请求"(CSR)。CA通过特殊格式的文件——".csr"文件接收企业信息和数字签名。
常规SSL证书签发流程
包含三个步骤:
- 首先生成CSR并提交至CA。
- CA将该CSR与数字签名绑定后返回。
- 现在,您需将所有这些信息与公司域名绑定。
配置SSL设置
- 在产品控制台中,导航至“设置”选项卡,然后点击系统设置下列出的“连接设置”,如下图所示。
图1:通过设置选项卡配置连接设置 注意:您也可通过安全强化模块中的强制HTTPS配置访问这些设置。更多信息请参阅产品设置 帮助文档。
- 连接设置模块将显示在屏幕上,包含三个子选项卡:
- 常规设置
- SSL证书工具
- 代理设置
图2:连接设置配置
继续阅读以了解如何配置这些设置。
常规设置
此选项卡涵盖产品常规设置,包括配置Web服务器端口、支持协议、TLS及会话过期时间的选项。
连接类型
- 选择连接类型。可选择使用HTTP或 HTTPS协议。
- 选择连接类型后,请指定所需端口号。
注意:HTTP与HTTPS端口号必须不同。
默认端口为:HTTP: 8095,HTTPS: 8458。
- 点击“高级”进行进阶设置。
情况1:HTTP
图4:常规设置选项卡中的连接类型配置 配置HTTP的高级选项:
- 绑定地址:选择产品Web端口及其底层监听器应绑定的IP地址。可选择10.71.24.153,也可 从下拉菜单中选择其他绑定地址。
- 应用访问URL:指定用于代理间网络通信的DNS(域名系统)主机名。点击验证按钮。验证成功后,结果将显示为
成功。
案例二:HTTPS
HTTPS 情况下新增密钥库密码字段。若需 加密密钥库密码,请勾选此选项并输入密码。密钥库密码将加密存储。勾选对应复选框后该字段即可编辑。
图5:常规设置选项卡中的连接类型配置 配置HTTPS的高级选项:
- TLS:从下拉菜单中选择任意/多个TLS(传输层安全)协议与产品服务器绑定。
- 密码套件:选择与上述选定TLS版本兼容的密码套件。Log360和EventLog Analyzer支持的默认密码套件列表如下:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_256_CCM
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- 绑定地址:选择产品Web端口及其底层监听器应绑定的IP地址。可从下拉菜单中提供的绑定地址中选择。
- 应用访问URL:指定用于代理间网络通信的DNS主机名。点击验证按钮。验证成功后,结果将显示为
成功。
- 点击"保存设置"。更新配置需重启产品生效,此时将弹出操作确认窗口,请点击"是"。
- 操作成功完成后,将显示如下弹窗。
常规
- 启用LDAP SSL对象:配置LDAP SSL(基于安全套接层的轻量级目录访问协议)时,点击下拉菜单查看可启用此设置的域列表,勾选对应复选框。
- 会话超时时间:选择 用户会话允许保持空闲的最大时长,超过该时限后会话将自动终止。可选时间间隔为15分钟、30分钟、45分钟、1小时、2小时、3小时及 永不过期。更新配置后需重启产品方可生效。
- 点击"保存设置"以存储配置参数。
- 操作成功完成后,将显示以下弹窗提示。
- 更新配置生效前需重启产品。
SSL 证书工具
此选项卡允许您应用 SSL 证书,可通过生成自签名证书或导入自有证书实现。
"选择选项"字段包含基于两种情况的选项:
- 应用证书:若您已拥有SSL证书,请点击此选项。
- 生成证书:若尚未拥有证书,请点击此选项生成SSL证书,完成后可参照"应用证书"选项的步骤操作。
情况1:申请证书
若您已持有SSL证书,请按以下步骤进行申请。
- 证书应用对象:在下拉菜单中选择需应用SSL证书的组件。
- 选择上传方式: 根据证书文件类型选择 上传方式。
- ZIP上传:
- 若您的CA机构发送的是ZIP压缩包,请选择ZIP上传并上传该文件。
- 若CA发送的是独立证书文件(用户证书、中间证书和根证书),可将所有证书文件打包至ZIP文件后上传。
- 单独证书:
- 若CA仅发送单个证书文件(PFX或PEM格式),请选择"单独证书"并上传该文件。
- 若您的CA发送的是证书内容文本,请将其粘贴至文本编辑器中,保存为CER、CRT或PEM格式文件后上传。
- 证书内容:
- 若CA仅提供证书内容,请选择此选项并将完整内容粘贴至"粘贴证书内容"字段 。
- ZIP上传:
- 上传证书/粘贴证书内容:根据上传选项,在此字段上传您的证书。
- 私钥密码短语:若证书包含密码保护的私钥,请在此字段输入密码。
注意:当前仅支持三重DES加密的私钥。
- 点击应用。下方弹窗将短暂显示。
- 最后重启产品。
情况2:生成证书
若您尚未持有SSL证书,请选择"生成证书"选项并填写下列必填字段:
- 通用名称:输入服务器名称。示例:对于URLhttps://servername:9251,通用名称为servername。
- SAN名称:主题备用名称(SAN)允许为单个SSL证书指定多个主机名。多个值之间用逗号分隔。
- 组织单位:输入您希望在证书中显示的部门名称。
- 组织:输入组织的法定名称。
- 城市:输入组织注册地址中的城市名称。
- 州/省:请输入贵机构注册地址所对应的州或省名称。
- 国家代码:输入贵组织所在国家的两位字母代码。
- 密码:输入用于保护密钥库的密码,至少6个字符。安装签名证书时将要求输入此密码。对于自签名证书,默认情况下密码将被加密。
- 有效期(天数):指定SSL证书的有效天数。
注意:若未填写值,默认有效期为90天。
- 公钥长度(单位:位):指定公钥大小。数值越大,密钥强度越高。默认值为2048位,且只能以64的倍数递增。
注意:默认值为2048位,其数值只能以64的倍数递增。
- 输入所有值后,可选择以下任一选项:
- 生成CSR:此 方法可生成CSR文件并提交至CA(证书颁发机构)。CA将根据该文件为您的服务器生成定制证书。
- 点击下载CSR或手动前往<安装目录>\Certificates文件夹获取。
- 收到CA签发的证书文件后,请参照"应用证书"步骤完成SSL证书部署。
- 生成并应用自签名证书:此 选项可创建自签名证书并即时应用于产品。但需注意自签名SSL证书存在缺陷:访问该证书保护的产品时,用户将收到网站不可信的警告提示,可能引发安全疑虑。
- 生成CSR:此 方法可生成CSR文件并提交至CA(证书颁发机构)。CA将根据该文件为您的服务器生成定制证书。
- 完成此过程后,请参照“应用证书”部分的步骤操作。
代理设置
此设置允许您配置代理服务器以访问产品服务器。
- 勾选"启用代理服务器"复选框,相关必填字段将变为可编辑状态。
- 在相应字段中输入代理服务器名称/端口、用户名和 密码以配置服务器。
- 点击"保存设置"以存储配置的代理服务器。
- 点击“测试连接”按钮,验证代理服务器能否从产品服务器建立连接
提取事件日志分析器SSL证书
本节指南仅适用于事件日志分析器控制台
若您当前使用的是Log360组件EventLog Analyzer,且其采用自签名证书,请按以下步骤提取所需格式的证书。
若尚未通过EventLog Analyzer证书生成工具创建自签名证书,请先使用该工具生成证书,再执行后续步骤。
PRODUCT_LOCATION/jre/bin/keytool -exportcert -keystore PRODUCT_LOCATION/conf/server.p12 -storetype PKCS12 -storepass STOREPASS -alias ALIAS -file CERTIFICATE.crt
请按实际情况替换占位符:
- STOREPASS:自签名证书生成过程中使用的密码。
- ALIAS:自签名证书生成时使用的通用名称。
- 证书:证书文件的期望名称。
将SSL证书导入EventLog Analyzer信任存储库:
使用以下命令将证书导入目标产品的信任存储库:
PRODUCT_LOCATION/jre/bin/keytool -import -noprompt -trustcacerts -alias ALIAS -file CERTIFICATE.crt -keystore PRODUCT_LOCATION/jre/lib/security/cacerts -storepass changeit
请根据实际情况替换占位符:
- 别名:证书的适用别名。
- 证书:待导入的证书文件。
SSL故障排除技巧
本节帮助您排查产品控制台中可能遇到的SSL服务器证书相关问题。
1. 被阻止的内容
描述:
当产品控制台在连接设置中配置为使用HTTPS,而集成组件仍配置为使用HTTP时,将引发此问题。导致无法从应用程序窗格访问该组件。
解决方案:
若产品控制台采用HTTPS,所有集成组件也必须配置为使用HTTPS(SSL)才能成功访问。
2. 证书名称不匹配
描述:
当SSL证书的通用名与托管产品控制台的服务器主机名不完全匹配时,将引发此错误。
解决方案:
为服务器当前主机名获取新的SSL证书。
3. 主机名不匹配
描述:
当组件的SSL证书签发的主机名与产品控制台主机名不一致时,将引发此错误。例如:控制台安装在父域名下,而组件运行在子域名中。
解决方案:
配置有效的SSL通配符证书,并将其应用于产品控制台和组件。
4. 无效证书
描述:
当产品控制台配置的SSL证书无效(例如过期或签发错误)时会出现此错误。
解决方案:
重新配置产品控制台以使用有效的SSL证书。
5. 安全证书信任问题
描述:
当与产品控制台集成的组件运行在旧版本构建上时,会发生此错误。
解决方案:
将所有集成组件升级至最新版本。
6. JVM 不信任证书(高级场景)
描述:
当在产品控制台中配置使用SSL的SMTP邮件服务器或Web服务器时,若服务器采用自签名证书,则会引发此异常。控制台捆绑的Java运行环境(JRE)默认不信任自签名证书,除非进行显式导入。
解决方案:
需将服务器使用的自签名证书导入产品控制台使用的JRE包。请按以下步骤操作:
步骤 1:下载证书
针对SMTP服务器:
下载SMTP服务器使用的证书需安装OpenSSL,可从此处获取。
打开命令提示符,切换至OpenSSL安装目录下的bin文件夹。
现在运行以下命令:
openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > certificatename.cer
- 例如:openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer
针对Web服务器:
- 在浏览器中打开网页地址。
- 点击地址栏上的挂锁图标。
- 点击“更多信息”。这将打开证书查看器窗口,显示该网页服务器使用的证书。
- 点击查看证书。
- 当显示证书颁发机构信息的窗口打开时,点击“详细信息”选项卡。
- 点击“复制到文件”。
- 在打开的证书导出向导中,点击“下一步”。
- 选择格式为DRE编码二进制X.509(.CER)文件,点击下一步。
- 输入文件保存路径后点击完成。
步骤 2:将证书导入产品控制台的 JRE 软件包。
- 打开命令提示符并切换至 \jre\bin 文件夹。例如:C:\ManageEngine\产品控制台名称\jre\bin。
- 运行以下命令:
Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file
- 例如:Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
- 在密码提示时输入 changeit。
- 在提示输入“是”或“否”时输入 y。
- 关闭命令提示符并重新启动产品。
对于由公共证书颁发机构签名的证书
若证书由公共证书颁发机构签发,请执行以下步骤:
- 打开浏览器设置
- 打开隐私/隐私和安全选项卡
- 在安全选项卡下,点击管理证书。
- 请确保CA证书未被列入"不受信任的发布者"列表。
- 如果证书不在“不受信任的发布者”列表中,请打开“受信任的根证书颁发机构”选项卡,检查您签名的公共证书颁发机构是否可用。
- 若未找到,请导入该证书颁发机构证书并重启浏览器。
对于本地证书颁发机构签发的证书或自签名证书
若Web客户端在域内机器访问,请执行以下步骤:
- 启动组策略管理管理单元。
- 右键单击相应的 GPO,然后单击“编辑”。
- 打开“计算机配置\策略\Windows 设置\安全设置\公钥策略”,右键单击“受信任的根证书颁发机构”,然后单击“导入”。
- 在“欢迎使用证书导入向导”页面上,单击“下一步”。
- 在“要导入的文件”页面上,选择证书,然后单击“下一步”。
- 在证书存储页上,单击将所有证书放置在以下存储中,然后单击下一步。
- 在完成证书导入向导页面上,验证您提供的信息是否准确,然后单击完成。
若在非域计算机上访问Web客户端,请执行以下步骤:
- 打开浏览器设置
- 打开隐私/隐私和安全选项卡
- 在“安全”选项卡下,单击“管理证书”。
- 在证书弹出窗口中,打开“受信任的根证书颁发机构”。
- 请导入证书颁发机构证书并重新启动浏览器。
对于由公共证书颁发机构签名的证书
若证书由公共证书颁发机构签发,请执行以下步骤:
- 打开浏览器设置
- 打开隐私/隐私和安全选项卡
- 在“安全”选项卡下,点击“管理证书”。
- 请确保CA证书未被归类至"不受信任的发布者"列表。
- 如果证书不在“不受信任的发布者”列表中,请打开“受信任的根证书颁发机构”选项卡,检查您签名的公共证书颁发机构是否可用。
- 若未找到,请导入该证书颁发机构证书并重启浏览器。
对于由本地证书颁发机构签发的证书或自签名证书
若通过域内计算机访问Web客户端,请执行以下步骤。
- 启动组策略管理管理单元。
- 右键单击相应的 GPO,然后单击“编辑”。
- 打开“计算机配置\策略\Windows 设置\安全设置\公钥策略”,右键单击“受信任的根证书颁发机构”,然后单击“导入”。
- 在“欢迎使用证书导入向导”页面上,单击“下一步”。
- 在“要导入的文件”页面上,选择证书,然后单击“下一步”。
- 在证书存储页上,单击将所有证书放置在以下存储中,然后单击下一步。
- 在完成证书导入向导页面上,验证您提供的信息是否准确,然后单击完成。
若通过非域内计算机访问Web客户端,请执行以下步骤。
- 打开浏览器设置
- 打开隐私/隐私和安全选项卡
- 在“安全”选项卡下,单击“管理证书”。
- 在证书弹出窗口中,打开“受信任的根证书颁发机构”。
- 请导入证书颁发机构证书并重启浏览器。
另请参阅
本文档阐述了如何在Log360和EventLog Analyzer中配置SSL设置,包括连接类型、证书管理、代理配置及证书提取。更多信息请参阅以下页面: