连接设置

最后更新于:

这些设置用于与产品连接相关的一般配置,例如访问权限、证书和代理设置。这些配置可实现对产品服务器的安全访问。

概述

SSL设置页面可配置产品与客户端系统间的加密通信。通过启用SSL及管理证书,可确保数据传输加密、防止未经授权访问并符合安全标准。配置选项包括:选择连接类型(HTTP/HTTPS)、通过内置SSL证书工具管理证书、设置代理服务器,以及在需要时提取EventLog Analyzer证书。

什么是SSL?

SSL(安全套接层)是一种加密技术,用于保障网站与访客浏览器间的数据交换安全。通常用户与网站交互时(例如提交信用卡信息),数据会以明文形式传输至服务器,极易遭受窃取!

反之,若数据经过加密处理,窃听者将无法读取内容!因此,使用SSL保护网站安全至关重要!

证书与认证机构(CA)

SSL证书:

这是企业的数字身份凭证,确保访客仅与目标网站通信,且提交至该站点的所有数据均经加密处理,仅能抵达目标站点。该机制类似银行通过签名识别客户。在此场景中,浏览器(即终端用户)被预设为信任CA颁发的证书。

认证机构:

  • 监管机构通过标准政策为域名颁发证书,宣告其可信度。每份证书均与被认证企业唯一对应,便于身份识别。
  • CA在为企业签发证书前会验证所有必要信息,并持续更新其记录,从而增强可信度。
  • 知名CA包括威瑞信、Comodo及GoDaddy等。

密钥库

密钥库专为存储各类加密信息而设计。

证书签发请求(CSR)

  • CA为企业生成SSL证书时,首先收集企业信息及其他标识符(如公钥/数字签名),随后将其与证书(可能是加密令牌等形式)绑定,从而生成该企业的唯一标识符。
  • 因此每个证书签发流程都始于企业的"证书申请"。CA将此流程称为"证书签名请求"(CSR)。CA通过特殊格式的文件——".csr"文件接收企业信息和数字签名。

常规SSL证书签发流程

包含三个步骤:

  • 首先生成CSR并提交至CA。
  • CA将该CSR与数字签名绑定后返回。
  • 现在,您需将所有这些信息与公司域名绑定。

配置SSL设置

  1. 在产品控制台中,导航至“设置”选项卡,然后点击系统设置下列出的“连接设置”,如下图所示。
    Connection settings
    图1:通过设置选项卡配置连接设置

    注意:您也可通过安全强化模块中的强制HTTPS配置访问这些设置。更多信息请参阅产品设置 帮助文档。

  2. 连接设置模块将显示在屏幕上,包含三个子选项卡:
    • 常规设置
    • SSL证书工具
    • 代理设置
    Connection settings
    图2:连接设置配置

继续阅读以了解如何配置这些设置。

常规设置

此选项卡涵盖产品常规设置,包括配置Web服务器端口、支持协议、TLS及会话过期时间的选项。

Connection settings
图3:连接设置下的常规设置

连接类型

  1. 选择连接类型。可选择使用HTTP或 HTTPS协议
  2. 选择连接类型后,请指定所需端口号。

    注意:HTTP与HTTPS端口号必须不同。

    默认端口为:HTTP: 8095,HTTPS: 8458。

  3. 点击“高级”进行进阶设置。

    情况1:HTTP

    Connection settings
    图4:常规设置选项卡中的连接类型配置

    配置HTTP的高级选项:

    • 绑定地址:选择产品Web端口及其底层监听器应绑定的IP地址。可选择10.71.24.153,也可 从下拉菜单中选择其他绑定地址
    • 应用访问URL:指定用于代理间网络通信的DNS(域名系统)主机名。点击验证按钮。验证成功后,结果将显示为 成功。

    案例二:HTTPS

    HTTPS 情况下新增密钥库密码字段。若需 加密密钥库密码,请勾选此选项并输入密码。密钥库密码将加密存储。勾选对应复选框后该字段即可编辑。

    Connection settings
    图5:常规设置选项卡中的连接类型配置

    配置HTTPS的高级选项:

    • TLS:从下拉菜单中选择任意/多个TLS(传输层安全)协议与产品服务器绑定。
    • 密码套件:选择与上述选定TLS版本兼容的密码套件。Log360和EventLog Analyzer支持的默认密码套件列表如下:
      • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
      • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
      • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
      • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
      • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
      • TLS_DHE_RSA_WITH_AES_256_CCM
      • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
      TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
    • 绑定地址:选择产品Web端口及其底层监听器应绑定的IP地址。可从下拉菜单中提供的绑定地址中选择。
    • 应用访问URL:指定用于代理间网络通信的DNS主机名。点击验证按钮。验证成功后,结果将显示为 成功。
  4. 点击"保存设置"。更新配置需重启产品生效,此时将弹出操作确认窗口,请点击"是"
    Connection settings
  5. 操作成功完成后,将显示如下弹窗。
    Connection settings

常规

  1. 启用LDAP SSL对象:配置LDAP SSL(基于安全套接层的轻量级目录访问协议)时,点击下拉菜单查看可启用此设置的域列表,勾选对应复选框。
  2. 会话超时时间:选择 用户会话允许保持空闲的最大时长,超过该时限后会话将自动终止。可选时间间隔为15分钟30分钟45分钟1小时2小时3小时及 永不过期。更新配置后需重启产品方可生效。
  3. 点击"保存设置"以存储配置参数。
  4. 操作成功完成后,将显示以下弹窗提示。
    Connection settings
  5. 更新配置生效前需重启产品。

SSL 证书工具

此选项卡允许您应用 SSL 证书,可通过生成自签名证书或导入自有证书实现。

Connection settings
图6:通过连接设置应用SSL证书

"选择选项"字段包含基于两种情况的选项:

  • 应用证书:若您已拥有SSL证书,请点击此选项。
  • 生成证书:若尚未拥有证书,请点击此选项生成SSL证书,完成后可参照"应用证书"选项的步骤操作。

情况1:申请证书

您已持有SSL证书,请按以下步骤进行申请。

  • 证书应用对象:在下拉菜单中选择需应用SSL证书的组件。
  • 选择上传方式: 根据证书文件类型选择 上传方式。
    • ZIP上传:
      • 若您的CA机构发送的是ZIP压缩包,请选择ZIP上传并上传该文件。
      • 若CA发送的是独立证书文件(用户证书、中间证书和根证书),可将所有证书文件打包至ZIP文件后上传。
    • 单独证书:
      • 若CA仅发送单个证书文件(PFX或PEM格式),请选择"单独证书"并上传该文件。
      • 若您的CA发送的是证书内容文本,请将其粘贴至文本编辑器中,保存为CER、CRT或PEM格式文件后上传。
    • 证书内容:
      • 若CA仅提供证书内容,请选择此选项并将完整内容粘贴至"粘贴证书内容"字段
  • 上传证书/粘贴证书内容:根据上传选项,在此字段上传您的证书。
  • 私钥密码短语:若证书包含密码保护的私钥,请在此字段输入密码。

    注意:当前仅支持三重DES加密的私钥。

  • 点击应用。下方弹窗将短暂显示。
    Connection settings
  • 最后重启产品。

情况2:生成证书

Connection settings
图7:通过连接设置生成SSL证书

若您尚未持有SSL证书,请选择"生成证书"选项并填写下列必填字段:

  • 通用名称:输入服务器名称。示例:对于URLhttps://servername:9251,通用名称为servername
  • SAN名称:主题备用名称(SAN)允许为单个SSL证书指定多个主机名。多个值之间用逗号分隔。
  • 组织单位:输入您希望在证书中显示的部门名称。
  • 组织:输入组织的法定名称。
  • 城市:输入组织注册地址中的城市名称。
  • 州/省:请输入贵机构注册地址所对应的州或省名称。
  • 国家代码:输入贵组织所在国家的两位字母代码。
  • 密码:输入用于保护密钥库的密码,至少6个字符。安装签名证书时将要求输入此密码。对于自签名证书,默认情况下密码将被加密。
  • 有效期(天数):指定SSL证书的有效天数。

    注意:若未填写值,默认有效期为90天。

  • 公钥长度(单位:位):指定公钥大小。数值越大,密钥强度越高。默认值为2048位,且只能以64的倍数递增。

    注意:默认值为2048位,其数值只能以64的倍数递增。

  • 输入所有值后,可选择以下任一选项:
    • 生成CSR:此 方法可生成CSR文件并提交至CA(证书颁发机构)。CA将根据该文件为您的服务器生成定制证书。
      • 点击下载CSR或手动前往<安装目录>\Certificates文件夹获取。
      • 收到CA签发的证书文件后,请参照"应用证书"步骤完成SSL证书部署。
    • 生成并应用自签名证书:此 选项可创建自签名证书并即时应用于产品。但需注意自签名SSL证书存在缺陷:访问该证书保护的产品时,用户将收到网站不可信的警告提示,可能引发安全疑虑。
    Connection settings
  • 完成此过程后,请参照“应用证书”部分的步骤操作。

代理设置

此设置允许您配置代理服务器以访问产品服务器。

Connection settings
图8:通过连接设置配置代理参数
  • 勾选"启用代理服务器"复选框,相关必填字段将变为可编辑状态。
  • 在相应字段中输入代理服务器名称/端口用户名和 密码以配置服务器。
  • 点击"保存设置"以存储配置的代理服务器。
  • 点击“测试连接”按钮,验证代理服务器能否从产品服务器建立连接

提取事件日志分析器SSL证书

本节指南仅适用于事件日志分析器控制台

若您当前使用的是Log360组件EventLog Analyzer,且其采用自签名证书,请按以下步骤提取所需格式的证书。

若尚未通过EventLog Analyzer证书生成工具创建自签名证书,请先使用该工具生成证书,再执行后续步骤。

PRODUCT_LOCATION/jre/bin/keytool -exportcert -keystore PRODUCT_LOCATION/conf/server.p12 -storetype PKCS12 -storepass STOREPASS -alias ALIAS -file CERTIFICATE.crt

请按实际情况替换占位符:

  • STOREPASS:自签名证书生成过程中使用的密码。
  • ALIAS:自签名证书生成时使用的通用名称。
  • 证书:证书文件的期望名称。

将SSL证书导入EventLog Analyzer信任存储库:

使用以下命令将证书导入目标产品的信任存储库:

PRODUCT_LOCATION/jre/bin/keytool -import -noprompt -trustcacerts -alias ALIAS -file CERTIFICATE.crt -keystore PRODUCT_LOCATION/jre/lib/security/cacerts -storepass changeit

请根据实际情况替换占位符:

  • 别名:证书的适用别名。
  • 证书:待导入的证书文件。

SSL故障排除技巧

本节帮助您排查产品控制台中可能遇到的SSL服务器证书相关问题。

1. 被阻止的内容

描述

当产品控制台在连接设置中配置为使用HTTPS,而集成组件仍配置为使用HTTP时,将引发此问题。导致无法从应用程序窗格访问该组件。

解决方案

若产品控制台采用HTTPS,所有集成组件也必须配置为使用HTTPS(SSL)才能成功访问。

2. 证书名称不匹配

描述:

当SSL证书的通用名与托管产品控制台的服务器主机名不完全匹配时,将引发此错误。

解决方案:

为服务器当前主机名获取新的SSL证书。

3. 主机名不匹配

描述:

当组件的SSL证书签发的主机名与产品控制台主机名不一致时,将引发此错误。例如:控制台安装在父域名下,而组件运行在子域名中。

解决方案:

配置有效的SSL通配符证书,并将其应用于产品控制台和组件。

4. 无效证书

描述:

当产品控制台配置的SSL证书无效(例如过期或签发错误)时会出现此错误。

解决方案:

重新配置产品控制台以使用有效的SSL证书。

5. 安全证书信任问题

描述:

当与产品控制台集成的组件运行在旧版本构建上时,会发生此错误。

解决方案:

将所有集成组件升级至最新版本。

6. JVM 不信任证书(高级场景)

描述:

当在产品控制台中配置使用SSL的SMTP邮件服务器或Web服务器时,若服务器采用自签名证书,则会引发此异常。控制台捆绑的Java运行环境(JRE)默认不信任自签名证书,除非进行显式导入。

解决方案:

需将服务器使用的自签名证书导入产品控制台使用的JRE包。请按以下步骤操作:

步骤 1:下载证书

针对SMTP服务器:

注意

下载SMTP服务器使用的证书需安装OpenSSL,可从此处获取。

打开命令提示符,切换至OpenSSL安装目录下的bin文件夹。

现在运行以下命令:

openssl.exe s_client -connect SMTPServer: Portno -starttls smtp > certificatename.cer

  • 例如:openssl.exe s_client -connect smtp.gmail.com:587 -starttls smtp > gmailcert.cer

针对Web服务器:

  • 在浏览器中打开网页地址。
  • 点击地址栏上的挂锁图标。
  • 点击“更多信息”。这将打开证书查看器窗口,显示该网页服务器使用的证书。
  • 点击查看证书。
  • 当显示证书颁发机构信息的窗口打开时,点击“详细信息”选项卡。
  • 点击“复制到文件”。
  • 在打开的证书导出向导中,点击“下一步”。
  • 选择格式为DRE编码二进制X.509(.CER)文件,点击下一步。
  • 输入文件保存路径后点击完成。

步骤 2:将证书导入产品控制台的 JRE 软件包。

  • 打开命令提示符并切换至 \jre\bin 文件夹。例如:C:\ManageEngine\产品控制台名称\jre\bin。
  • 运行以下命令:

    Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file

  • 例如:Keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\smtpcert.cer
  • 在密码提示时输入 changeit。
  • 在提示输入“是”或“否”时输入 y。
  • 关闭命令提示符并重新启动产品。

对于由公共证书颁发机构签名的证书

若证书由公共证书颁发机构签发,请执行以下步骤:

  • 打开浏览器设置
  • 打开隐私/隐私和安全选项卡
  • 在安全选项卡下,点击管理证书。
  • 请确保CA证书未被列入"不受信任的发布者"列表。
  • 如果证书不在“不受信任的发布者”列表中,请打开“受信任的根证书颁发机构”选项卡,检查您签名的公共证书颁发机构是否可用。
  • 若未找到,请导入该证书颁发机构证书并重启浏览器。

对于本地证书颁发机构签发的证书或自签名证书

若Web客户端在域内机器访问,请执行以下步骤:

  • 启动组策略管理管理单元。
  • 右键单击相应的 GPO,然后单击“编辑”。
  • 打开“计算机配置\策略\Windows 设置\安全设置\公钥策略”,右键单击“受信任的根证书颁发机构”,然后单击“导入”。
  • 在“欢迎使用证书导入向导”页面上,单击“下一步”。
  • 在“要导入的文件”页面上,选择证书,然后单击“下一步”。
  • 在证书存储页上,单击将所有证书放置在以下存储中,然后单击下一步。
  • 在完成证书导入向导页面上,验证您提供的信息是否准确,然后单击完成。

若在非域计算机上访问Web客户端,请执行以下步骤:

  • 打开浏览器设置
  • 打开隐私/隐私和安全选项卡
  • 在“安全”选项卡下,单击“管理证书”。
  • 在证书弹出窗口中,打开“受信任的根证书颁发机构”。
  • 请导入证书颁发机构证书并重新启动浏览器。

对于由公共证书颁发机构签名的证书

若证书由公共证书颁发机构签发,请执行以下步骤:

  • 打开浏览器设置
  • 打开隐私/隐私和安全选项卡
  • 在“安全”选项卡下,点击“管理证书”。
  • 请确保CA证书未被归类至"不受信任的发布者"列表。
  • 如果证书不在“不受信任的发布者”列表中,请打开“受信任的根证书颁发机构”选项卡,检查您签名的公共证书颁发机构是否可用。
  • 若未找到,请导入该证书颁发机构证书并重启浏览器。

对于由本地证书颁发机构签发的证书或自签名证书

若通过域内计算机访问Web客户端,请执行以下步骤。

  • 启动组策略管理管理单元。
  • 右键单击相应的 GPO,然后单击“编辑”。
  • 打开“计算机配置\策略\Windows 设置\安全设置\公钥策略”,右键单击“受信任的根证书颁发机构”,然后单击“导入”。
  • 在“欢迎使用证书导入向导”页面上,单击“下一步”。
  • 在“要导入的文件”页面上,选择证书,然后单击“下一步”。
  • 在证书存储页上,单击将所有证书放置在以下存储中,然后单击下一步。
  • 在完成证书导入向导页面上,验证您提供的信息是否准确,然后单击完成。

若通过非域内计算机访问Web客户端,请执行以下步骤。

  • 打开浏览器设置
  • 打开隐私/隐私和安全选项卡
  • 在“安全”选项卡下,单击“管理证书”。
  • 在证书弹出窗口中,打开“受信任的根证书颁发机构”。
  • 请导入证书颁发机构证书并重启浏览器。

另请参阅

本文档阐述了如何在Log360和EventLog Analyzer中配置SSL设置,包括连接类型、证书管理、代理配置及证书提取。更多信息请参阅以下页面: