NOTA:La información de esta sección no se aplica a OES Linux ni a OES NetWare, que instala tanto Tomcat como Apache. En la documentación de OES Linux se incluye información acerca de cómo sustituir el certificado de Apache/Tomcat autofirmado.
Las instalaciones de iManager independientes incluyen un certificado temporal, autofirmado para que Tomcat lo utilice. Tiene una fecha de caducidad de un año.
No se pretende que sea una implementación a largo plazo. Es una solución temporal para que el sistema se active y se ejecute, con el fin de que iManager se pueda utilizar inmediatamente después de la instalación. OpenSSL no recomienda el uso de certificados autofirmados excepto para fines de prueba.
Un reto al sustituir el certificado autofirmado es que el almacén de claves por defecto de Tomcat que utiliza está en un archivo con formato Tomcat {JKS}. La herramienta que se utiliza para modificar este almacén de claves, keytool, no puede importar claves privadas. Sólo se utilizará una clave generada automáticamente.
Si va a utilizar eDirectory, puede utilizar el Servidor de certificados de Novell para generar, hacer el seguimiento, almacenar y revocar de forma segura certificados sin necesidad de hacer inversiones adicionales. Para generar un par de claves privadas/públicas en eDirectory con el Servidor de certificados de Novell, lleve a cabo los siguientes pasos en la plataforma aplicable:
En las siguientes instrucciones se muestra cómo crear un par de claves en eDirectory y exportar las claves públicas, privadas y root de la autoridad certificadora (CA) a través de un archivo PKCS#12 en la plataforma Linux. Esto incluye la modificación del archivo de configuración server.xml de Tomcat para utilizar la directiva PKCS12 y señalar la configuración a un archivo P12 actual, en lugar de utilizar el almacén de claves JKS por defecto.
Los archivos asociados con este proceso son:
El par de claves temporal se encuentra en el archivo /var/opt/novell/novlwww/.keystore.
Los certificados raíz de confianza se encuentran en el archivo /etc/opt/novell/java/security/cacerts.
El archivo para configurar el uso de certificados de Tomcat es /etc/opt/novell/tomcat5/server.xml.
Crear un certificado de servidor nuevo con iManager.
En iManager, seleccione Servidor de certificados de Novell > Crear certificado de servidor. Seleccione el servidor apropiado, especifique un apodo y acepte el resto de valores del certificado por defecto.
Exporte el certificado del servidor al directorio personal de Tomcat ( /var/opt/novell/novlwww). En iManager, seleccione Administración de directorios > Modificar objeto. Examine y seleccione el objeto KMO. En la pestaña Certificados, seleccione Exportar. Especifique una contraseña y guarde el certificado del servidor como un archivo pkcs12 (.pfx).
Convierta el archivo .pfx en un archivo .pem.
Para ello, utilice un comando similar al siguiente:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Especifique la contraseña del certificado indicada en el paso 2 y una contraseña para el archivo nuevo .pem. Si lo desea, puede utilizar la misma contraseña.
Convierta el archivo .pfx en un archivo .pem.
Para ello, utilice un comando similar al siguiente:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Especifique la contraseña especificada en el paso 3 y una contraseña para el archivo nuevo .p12. Si lo desea, puede utilizar la misma contraseña.
Detenga Tomcat.
/etc/init.d/novell-tomcat5 stop
Edite el archivo de configuración de Tomcat ( /etc/opt/novell/tomcat5/server.xml) y añada las variables keystoreType, keystoreFile y keystorePass para que Tomcat pueda utilizar el archivo de certificados .p12 recién creado. Por ejemplo:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" /></Connector>
Al definir el tipo de almacén de claves en PKCS12, debe especificar toda la vía hasta el archivo de certificados, ya que Tomcat no utilizará por defecto la vía principal de Tomcat.
Cambie la propiedad del archivo .p12 al usuario/grupo de Tomcat apropiado (normalmente novlwww) y defina los permisos del archivo a usuario=rw, grupo=rw y otros=r. Por ejemplo:
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Reinicie Tomcat. Por ejemplo:
/etc/init.d/novell-tomcat5 start
En las siguientes instrucciones se muestra cómo crear un par de claves en eDirectory y exportar las claves públicas, privadas y root de la autoridad certificadora (CA) a través de un archivo PKCSs#12 de la plataforma Windows. Esto incluye la modificación del archivo de configuración server.xml de Tomcat para utilizar la directiva PKCS12 y señalar la configuración a un archivo P12 actual, en lugar de utilizar el almacén de claves JKS por defecto.
Los archivos y sus ubicaciones por defecto asociados con este proceso son:
El par de claves temporales: C:\Archivos de programa\Novell\Tomcat\conf\ssl\. keystore.
Los certificados raíz de confianza: C:\Archivos de programa\Novell\jre\lib\security\cacerts.
Configure el uso del certificado de Tomcat: C:\Archivos de programa\Novell\Tomcat\conf\server.xml
Crear un certificado de servidor nuevo con iManager.
En iManager, seleccione Servidor de certificados de Novell > Crear certificado de servidor. Seleccione el servidor apropiado, especifique un apodo y acepte el resto de valores por defecto del certificado.
Exporte el certificado del servidor. En iManager, seleccione Administración de directorios > Modificar objeto. Examine y seleccione el objeto KMO. En la pestaña Certificados, seleccione Exportar. Especifique una contraseña y guarde el certificado del servidor como un archivo pkcs12 ( .pfx).
Convierta el archivo .pfx en un archivo .pem.
NOTA:Openssl no se instala en Windows por defecto, pero en el sitio Web de Openssl hay disponible una versión para la plataforma Windows. Como alternativa, puede convertir el certificado en una plataforma Linux, en la que Openssl se instala por defecto.
Para ello, utilice un comando similar al siguiente:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Especifique la contraseña del certificado del paso 2 y una contraseña para el archivo nuevo .pem. Si lo desea, puede utilizar la misma contraseña.
Convierta el archivo .pfx en un archivo .pem.
Para ello, utilice un comando similar al siguiente:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Especifique la contraseña del certificado del paso 3 y una contraseña para el archivo nuevo .p12. Si lo desea, puede utilizar la misma contraseña.
Copie el archivo .p12 en la ubicación del certificado de Tomcat.
Por defecto, es C:\Archivos de programa\Novell\Tomcat\conf\ssl\.
Detener el servicio Tomcat.
/etc/init.d/novell-tomcat5 stop
Edite el archivo server.xml) de Tomcat y añada las variables keystoretype, keystorefile y keystorepass para que Tomcat pueda utilizar el archivo de certificados .precién creado. Por ejemplo:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Al definir el tipo de almacén de claves en PKCS12, debe especificar toda la vía hasta el archivo de certificados, ya que Tomcat no utilizará por defecto la vía principal de Tomcat.
Iniciar el servicio Tomcat.