NOTA:As informações contidas nesta seção não se aplicam ao OES Linux ou OES NetWare, que instala o Tomcat e o Apache. A documentação do OES Linux contém informações sobre a substituição do certificado Apache/Tomcat auto-assinado.
As instalações independentes do iManager incluem um certificado auto-assinado temporário para ser usado com o Tomcat. Ele é válido por um ano.
Esta não é uma implementação de longo prazo. É uma solução temporária para colocar seu sistema em execução para que você possa usar o iManager com segurança imediatamente após a instalação. O OpenSSL não recomenda o uso de certificados auto-assinados, exceto para testes.
Um dos desafios da substituição do certificado auto-assinado é que o keystore padrão do Tomcat está no arquivo de formato do Tomcat {JKS}. A ferramenta usada para modificar esse keystore, keytool, não pode importar uma chave privada. Ela só usará uma chave autogerada.
Se estiver usando o eDirectory, você poderá usar o Servidor de Certificação da Novell para gerar, monitorar, armazenar e revogar certificados com segurança sem nenhum investimento adicional. Para gerar um par de chaves pública/privada no eDirectory usando o Servidor de Certificação da Novell, siga estas etapas para sua plataforma aplicável:
As instruções a seguir mostram como criar um par de chaves no eDirectory e exportar as chaves Pública, Privada e da CA (Autoridade de Certificação) Raiz por meio de um arquivo PKCS#12 na plataforma Linux. Isso inclui modificar o arquivo de configuração server.xml do Tomcat para usar a diretiva PKCS12 e apontar a configuração para um arquivo P12 real em vez de usar o keystore JKS padrão.
Os arquivos associados a esse processo são dispostos da seguinte maneira:
O par de chaves temporário é mantido no arquivo /var/opt/novell/novlwww/.keystore.
As raízes confiáveis estão contidas no arquivo /etc/opt/novell/java/security/cacerts.
O arquivo para configurar o modo como o Tomcat usa certificados é /etc/opt/novell/tomcat5/server.xml.
Crie um novo certificado de servidor com o iManager.
No iManager, selecione Servidor de Certificação da Novell > Criar Certificação de Servidor. Selecione o servidor apropriado, especifique um apelido e aceite o restante dos padrões de certificado.
Exporte a certificação de servidor para o diretório pessoal do tomcat (/var/opt/novell/novlwww). No iManager, selecione Administração do Diretório > Modificar Objeto. Procure e selecione o objeto KMO. Na guia Certificados, selecione Exportar. Especifique uma senha e grave a certificação de servidor como um arquivo pkcs12 (.pfx).
Converta o arquivo.pfx em um arquivo .pem.
Para fazer isso, use um comando similar a este:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Especifique a senha de certificado definida na etapa 2 e uma senha para o novo arquivo .pem. Se desejar, você poderá usar a mesma senha.
Converta o arquivo .pem em um arquivo .p12.
Para fazer isso, use um comando similar a este:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Especifique a senha de certificado definida na etapa 3 e uma senha para o novo arquivo .p12. Se desejar, você poderá usar a mesma senha.
Interrompa o Tomcat.
/etc/init.d/novell-tomcat5 stop
Edite o arquivo de configuração do Tomcat (/etc/opt/novell/tomcat5/server.xml) e adicione as variáveis keystoreType, keystoreFile e keystorePass para permitir que o Tomcat use o arquivo de certificado .p12 recém-criado. Por exemplo:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" /></Connector>
Ao definir o tipo de keystore como PKCS12, você deve especificar o caminho inteiro do arquivo de certificado, pois o padrão não será mais o uso do caminho pessoal do Tomcat.
Mude a propriedade do arquivo .p12 para o usuário/grupo adequado do Tomcat (normalmente novlwww) e defina as permissões de arquivo como usuário=rw, grupo=rw e outros=r. Por exemplo:
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Reinicie o Tomcat. Por exemplo:
/etc/init.d/novell-tomcat5 start
As instruções a seguir mostram como criar um par de chaves no eDirectory e exportar as chaves Pública, Privada e de CA (Autoridade de Certificação) Raiz por meio de um arquivo PKCS#12 na plataforma Windows. Isso inclui modificar o arquivo de configuração server.xml do Tomcat para usar a diretiva PKCS12 e apontar a configuração para um arquivo P12 real em vez de usar o keystore JKS padrão.
Os arquivos, e seus locais padrão, associados a esse processo são os seguintes:
O par de chaves temporário: C:\Arquivos de Programas\Novell\Tomcat\conf\ssl\. keystore
Os certificados raiz confiáveis:C:\Arquivos de Programas\Novell\jre\lib\security\cacerts.
Configure o uso de certificado do Tomcat: C:\Arquivos de Programas\Novell\Tomcat\conf\server.xml
Crie uma nova certificação de servidor com o iManager.
No iManager, selecione Servidor de Certificação da Novell > Criar Certificação de Servidor. Selecione o servidor apropriado, especifique um apelido e aceite o restante dos padrões de certificado.
Exporte a certificação do servidor. No iManager, selecione Administração do Diretório > Modificar Objeto. Procure e selecione o objeto KMO. Na guia Certificados, selecione Exportar. Especifique uma senha e grave a certificação de servidor como um arquivo pkcs12 (.pfx).
Converta o arquivo .pfx em um arquivo .pem.
NOTA:Por padrão, o Openssl não está instalado no Windows, mas há uma versão para plataforma Windows disponível no site do Openssl. Como alternativa, você pode converter o certificado em uma plataforma Linux, na qual o Openssl é instalado por padrão.
Para fazer isso, use um comando similar a este:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Especifique a senha de certificado da etapa 2 e uma senha para o novo arquivo .pem. Se desejar, você poderá usar a mesma senha.
Converta o arquivo .pem em um arquivo .p12.
Para fazer isso, use um comando similar a este:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Especifique a senha de certificado da etapa 3 e uma senha para o novo arquivo .p12. Se desejar, você poderá usar a mesma senha.
Copie o arquivo .p12 para o local do certificado do Tomcat.
Por padrão, o local é C:\Arquivos de Programas\Novell\Tomcat\conf\ssl\.
Interrompa o serviço Tomcat.
/etc/init.d/novell-tomcat5 stop
Edite o server.xml do Tomcat e adicione as variáveis keystoreType, keystoreFile e keystorePass para permitir que o Tomcat use o arquivo de certificado .p12 recém-criado. Por exemplo:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" /> <Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Ao definir o tipo de keystore como PKCS12, você deve especificar o caminho inteiro do arquivo de certificado, pois o padrão não será mais o uso do caminho pessoal do Tomcat.
Inicie o serviço Tomcat.