NOTA:Le informazioni contenute in questa sezione non si applicano a OES Linux o OES NetWare, su cui è possibile installare sia Tomcat sia Apache. Nella documentazione di OES Linux sono reperibili informazioni relative alla sostituzione del certificato Apache/Tomcat firmato da se stessi.
Le installazioni standalone di iManager includono un certificato temporaneo, firmato da se stessi, per l'utilizzo da parte di Tomcat. Il periodo di validità del certificato è di un anno.
Non si tratta di un'implementazione a lungo termine, ma di una soluzione temporanea che consente di preparare ed eseguire il sistema, in modo da poter utilizzare iManager in modo sicuro subito dopo l'installazione. OpenSSL sconsiglia di utilizzare certificati firmati da se stessi se non per scopi di verifica.
Una delle difficoltà nel sostituire il certificato firmato da se stessi è dovuta al fatto che l'archivio chiavi di default di Tomcat utilizza file in formato {JKS}. Lo strumento utilizzato per modificare tale archivio chiavi, keytool non è in grado di importare una chiave privata, pertanto utilizza solo una chiave a generazione automatica.
Qualora sia in uso eDirectory, sarà possibile utilizzare Novell Certificate Server per generare, tenere traccia, memorizzare e revocare i certificati in modo protetto, senza necessità di ulteriori investimenti. Per generare una coppia di chiavi pubbliche/private in eDirectory utilizzando Novell Certificate Server, completare i seguenti passaggi per la piattaforma in uso:
Le istruzioni che seguono indicano come creare una coppia di chiavi in eDirectory ed esportare l'Autorità di certificazione (CA) pubblica, privata e radice, tramite un file PKCS#12 sulla piattaforma Linux. La procedura include la modifica del file di configurazione server.xml di Tomcat allo scopo di utilizzare la direttiva PKCS12 e indicare nella configurazione un file P12 effettivo invece di utilizzare l'archivio chiavi JKS di default.
I file associati a questo processo sono i seguenti:
La coppia di chiavi temporanea è memorizzata nel file/var/opt/novell/novlwww/.keystore.
Le radici di fiducia sono contenute nel file/etc/opt/novell/java/security/cacerts.
Il file utilizzato per configurare l'utilizzo di certificati in Tomcat è /etc/opt/novell/tomcat5/server.xml.
Creare un nuovo certificato server con iManager.
In iManager, selezionare Novell Certificate Server > Crea certificato del server. Selezionare il server appropriato, specificare un soprannome e accettare i restanti valori di default del certificato.
Esportare il certificato del server nella home directory di Tomcat (/var/opt/novell/novlwww). In iManager, selezionare Amministrazione directory > Modifica oggetto. Individuare l'oggetto KMO e selezionarlo. Nella scheda Certificati, selezionare Esporta. Specificare una password e salvare il certificato del server come file pkcs12 (.pfx).
Convertire il file .pfx in un file .pem.
Per eseguire questa operazione, utilizzare un comando come il seguente:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Specificare la password del certificato utilizzata nel passaggio 2, nonché una password per il nuovo file .pem. Se lo si desidera, è possibile utilizzare la stessa password.
Convertire il file .pem in un file .p12.
Per eseguire questa operazione, utilizzare un comando come il seguente:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Specificare la password del certificato utilizzata nel passaggio 3, nonché una password per il nuovo file .p12. Se lo si desidera, è possibile utilizzare la stessa password.
Interrompere Tomcat.
/etc/init.d/novell-tomcat5 stop
Modificare il file di configurazione di Tomcat (/etc/opt/novell/tomcat5/server.xml) e aggiungere le variabili keystoreType, keystoreFile e keystorePass per consentire a Tomcat di utilizzare il file del certificato .p12 appena creato. Ad esempio:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" /></Connector>
Se il tipo di archivio chiavi viene impostato su PKCS12, sarà necessario specificare l'intero percorso del file del certificato, in quanto Tomcat non utilizzerà più il percorso della home directory di Tomcat come default.
Impostare l'utente/gruppo di Tomcat appropriato come proprietario del file .p12 (solitamente novlwww) e impostare le autorizzazioni file su utente=LTM, gruppo=LTM e altro=LT. Ad esempio:
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Riavviare Tomcat. Ad esempio:
/etc/init.d/novell-tomcat5 start
Le istruzioni che seguono indicano come creare una coppia di chiavi in eDirectory ed esportare l'Autorità di certificazione (CA) pubblica, privata e radice, tramite un file PKCS#12 su piattaforma Windows. La procedura include la modifica del file di configurazione server.xml di Tomcat allo scopo di utilizzare la direttiva PKCS12 e indicare nella configurazione un file P12 effettivo invece di utilizzare l'archivio chiavi JKS di default.
I file, e i relativi percorsi di default, associati a questo processo sono i seguenti:
La coppia di chiavi temporanea: C:\Programmi\Novell\Tomcat\conf\ssl\. keystore.
I certificati della radice di fiducia: C:\Programmi\Novell\jre\lib\security\cacerts.
Configurare l'utilizzo dei certificati di Tomcat: C:\Programmi\Novell\Tomcat\conf\server.xml
Creare un nuovo certificato server con iManager.
In iManager, selezionare Novell Certificate Server > Crea certificato del server. Selezionare il server appropriato, specificare un soprannome e accettare i restanti valori di default del certificato.
Esportare il certificato del server. In iManager selezionare Amministrazione directory > Modifica oggetto. Individuare l'oggetto KMO e selezionarlo. Nella scheda Certificati, selezionare Esporta. Specificare una password e salvare il certificato del server come file pkcs12 (.pfx).
Convertire il file .pfx in un file .pem.
NOTA:Openssl non viene installato su Windows per default, tuttavia sul sito Web Openssl ne è disponibile una versione per la piattaforma Windows. In alternativa, è possibile convertire il certificato su una piattaforma Linux, sulla quale Openssl è installato per default.
Per eseguire questa operazione, utilizzare un comando come il seguente:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Specificare la password del certificato utilizzata nel passaggio 2, nonché una password per il nuovo file .pem. Se lo si desidera, è possibile utilizzare la stessa password.
Convertire il file .pem in un file .p12.
Per eseguire questa operazione, utilizzare un comando come il seguente:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Specificare la password del certificato utilizzata nel passaggio 3, nonché una password per il nuovo file .p12. Se lo si desidera, è possibile utilizzare la stessa password.
Copiare il file .p12 nel percorso in cui sono contenuti i certificati di Tomcat.
Per default, il percorso è C:\Programmi\Novell\Tomcat\conf\ssl\.
Interrompi il servizio Tomcat.
/etc/init.d/novell-tomcat5 stop
Modificare il file server.xml di Tomcat e aggiungere le variabili keystoreType, keystoreFile e keystorePass per consentire a Tomcat di utilizzare il file del certificato .p12 appena creato. Ad esempio:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" /></Connector>
Se il tipo di archivio chiavi viene impostato su PKCS12, sarà necessario specificare l'intero percorso del file del certificato, in quanto Tomcat non utilizzerà più il percorso della home directory di Tomcat come default.
Avvia il servizio Tomcat.