文档修订历史记录 文档版本日期更改 UMP 7.1 的初始版本

CA Nimsoft Unified Management Portal HTTPS 实施指南 7.1

文档修订历史记录 文档版本日期更改 1.0 12.2013 UMP 7.1 的初始版本

法律声明 版权所有 2013,CA 保留所有权利 保证 本文档中包含的资料按照 现状 提供, 将来版本中如有更改, 恕不另行通知 另外, 在适用法律允许的最大范围内,Nimsoft LLC 不承担关于本手册以及所含任何信息的任何保证 ( 明示或默示 ), 包括但不限于适销性和适用于特定用途的默示保证 对于为提供 使用或执行本文档或所含任何信息相关的错误 偶然或继发损失,Nimsoft LLC 均不应当承担任何责任 如果 Nimsoft LLC 与用户签订单独的书面协议, 而其中相关条款与本文档中条款相冲突, 则应当视单独协议中的保证条款为有效 技术许可 本文档中说明的硬件和 / 或软件都是根据许可提供的, 同时必须根据该许可的条款进行复制或使用 本文档受美国著作权法及国际公约的保护, 未经 Nimsoft LLC 事先同意和书面许可, 不得擅自以任何形式或任何方式 ( 包括电子存储和检索, 或翻译为其他语言 ) 复制本手册的全部或部分内容 限制权利说明 如果软件的使用是为履行美国政府的主合同或分包合同, 则软件将按照 商务计算机软件 ( 定义见 DFAR 252.227-7014 (1995 年 6 月 )), 或者 商务项目 ( 定义见 FAR 2.101(a)), 或者 限制计算机软件 ( 定义见 FAR 52.227-19 (1987 年 6 月 )), 或者任何同等机构的规定或合同条款进行交付和许可 软件的使用 复制或披露须依据 Nimsoft LLC 的标准商务许可条款, 并且美国政府的非国防部部门和机构获得的权利将不超过限制权利 ( 定义见 FAR 52.227-19(c)(1-2) (1987 年 6 月 )) 美国政府用户将获得的权利将不超过优先权利 ( 定义见 FAR 52.227-14 (1987 年 6 月 ) 或 DFAR 252.227-7015 (b)(2) (1995 年 11 月 )), 如适用于任何技术数据 商标 Nimsoft 是 CA 的商标 Adobe Acrobat Acrobat Reader 和 Acrobat Exchange 都是 Adobe Systems Incorporated 的注册商标 Intel 和 Pentium 都是 Intel Corporation 的美国注册商标 Java(TM) 是 Sun Microsystems, Inc 的美国注册商标 Microsoft 和 Windows 都是 Microsoft Corporation 的美国注册商标 Netscape(TM) 是 Netscape Communications Corporation 的美国注册商标 Oracle 是 Oracle Corporation (Redwood City, California) 的美国注册商标 UNIX 是 Open Group 的注册商标 ITIL 是英国政府商务办公室在英国及其他国家或地区的注册商标 本文引用的所有其他商标 商品名 服务标记和徽标分别属于其各自公司所有 有关许可和公共域软件的信息, 请参阅以下站点 : http://docs.nimsoft.com/prodhelp/en_us/library/index.htm?toc.htm?1981724.html 上的文档 Nimsoft Monitor 第三方许可和术语的使用

联系 CA Nimsoft 联系 CA Support 为了给您提供更多便利,CA Technologies 提供了一个站点供用户访问需要的信息, 包括家庭办公 小型企业以及企业级 CA Technologies 产品 访问 http://www.ca.com/worldwide, 您可以获得以下资源 : 关于技术支持和客户服务的在线 / 电话联系信息 关于用户社区和论坛的信息 产品和文档下载 CA Support 策略和方针 其他适用于您的产品的有用资源 提供关于产品文档的反馈 发送 CA Technologies Nimsoft 产品文档的相关意见或问题到 nimsoft.techpubs@ca.com 如果您愿意提供有关 CA Technologies 产品文档的反馈, 请访问我们的 CA Support 网站 http://ca.com/docs 完成一份简短的问卷调查

目录 第 1 章 : 简介 7 wasp HTTPS 和 UMP... 7 ssl_reinitialize_keystore 回调... 8 HTTPS 的用例... 8 先决条件... 9 其他资源... 9 第 2 章 : 实施 1024 位自签名 SSL 证书 11 1024 位自签名证书过程... 11 第 3 章 : 实施 2048 位自签名 SSL 证书 13 2048 位自签名证书过程... 14 第 4 章 : 实施授权签名的 SSL 证书 17 实体 中间和根证书... 18 查看根证书... 18 证书颁发机构签名的 SSL 证书过程... 19 第 5 章 : 实施通配型 SSL 证书 23 通配型证书过程... 23 附录 A: SSL 证书故障排除 27 别名 <wasp> 已存在... 27 别名 wasp 无法识别某一密钥项... 27 给定最后块异常... 28 找不到 keytool 命令... 28 签名人证书不匹配颁发机构名称... 29 目录 5

第 1 章 : 简介 本文档描述如何配置安全套接字层 (SSL) 连接, 以便通过 HTTPS 访问 UMP 它提供了有关设置自签名证书或颁发机构签名证书的说明 此外, 本文档包括实施通配型证书的说明 本文档使用情景式方法 这意味着, 每章各 ( 在此初始章后 ) 提供特定情景的独立说明 这些情景如下所示 : 第 2 章 - 实施 1024 位自签名 SSL 证书 (p. 11) 第 3 章 - 实施 2048 位自签名 SSL 证书 (p. 13) 第 4 章 - 实施证书颁发机构签名的 SSL 证书 (p. 17) 第 5 章 - 实施通配型 SSL 证书 (p. 23) 本章 ( 第 1 章 ) 提供在开始之前需要知道的重要信息 有许多潜在因素会影响用于在您环境中实施 HTTPS 的步骤 SSL 证书故障排除 (p. 27) 帮助您解决可能会遇到的一些通常问题 wasp HTTPS 和 UMP 本节的目的是为了提供 wasp 的背景信息, 因为它与此指南中所述的活动有关 每章的情景中都提供了配置 wasp 的实际说明 配置 UMP 使用 HTTPS 需要配置 WASP 不管您打算实施的是什么证书, 本指南中的每个情景的第一步是修改 wasp.cfg 文件以启用 HTTPS 此更改生效时, 以下情况会出现 : 存储证书的加密文件 wasp.keystore 会在目录 <UMP_installation>/Nimsoft/probes/service/wasp/conf 中生成 1024 位自签名证书在 wasp.keystore 中自动生成 如果需要不同的证书, 您必须获得该证书, 并替换自动生成的 1024 位自签名证书 每个情景中的说明都提供具体步骤实现这一目的 重要信息! 如果您需要的证书不是上述自动生成的 1024 位自签名证书, 确保您阅读并理解 ssl_reinitialize_keystore 回调 (p. 8) 一节 第 1 章 : 简介 7

HTTPS 的用例 ssl_reinitialize_keystore 回调 如上节所述, 当您在 wasp.cfg 文件中启用 HTTPS 时,1024 位自签名证书会在 wasp.keystore 中自动生成 要使用任何其它证书, 您将需要输入 wasp.keystore 的有效密码 ; 然而,wasp.keystore 有硬编码 未知的密码 因此, 首次为 HTTPS 配置 WASP 时, 建议您执行 ssl_reinitialize_keystore 回调并设置新密码 ssl_reinitialize_keystore 回调重新创建 wasp.keystore 及其密码哈希 在您运行此回调时, 输入新密码作为参数, 然后安全地存储新密码, 以备将来使用 如果您丢失或忘记此密码, 重置它的唯一方法是重新初始化 wasp.keystore 重要信息! 谨慎使用 ssl_reinitialize_keystore 回调 此回调将更改 wasp.keystore 的加密哈希, 并且使您当前正在使用的任何证书无效 因此, 强烈建议您备份各个密钥和证书文件, 这样, 如果您必须重新初始化密钥存储, 您可以将密钥和证书重新加载到新的密钥存储中 此外, 不要使用 keytool 实用工具来更改 wasp.keystore 的密码, 因为 wasp 不会识别新密码 当前, 更改 wasp.keystore 的密码的唯一方式是使用 ssl_reinitialize_keystore 回调 HTTPS 的用例 CA Nimsoft 建议您在使用本指南前, 向您的网络安全工程师和合规专家咨询特定的安全要求 一般而言, 行业标准安全要求规定, 在不受信任的网络上进行客户端 - 服务器通信时必须使用 SSL 加密 这包括以下情况 : 如果用户通过公共网络 ( 如 Internet) 访问 UMP 如果会话遍历您的网络中未受保护的部分, 如会议室或公共访问区域的无线网络 如果会话遍历移动网络 注意 : 对于高安全环境, 建议您使用至少 2048 位加密 然而, 需记住, 较长的 RSA 密钥长度会极大地影响加密和加密的速度, 特别是加密的速度 8 HTTPS 实施指南

先决条件 先决条件 在使用本文档的情景之前, 确保您满足以下先决条件 : 如果您计划使用的证书不是 1024 位自签名证书, 您的环境已配置为运行 keytool 命令 这意味着 $PATH 系统变量包括 java.exe 和 keytool 的路径 参见 keytool 命令未找到 (p. 28) 一节以获得附加信息 您熟悉公钥基础结构 (PKI) 和系统管理 其他资源 除附录 SSL 证书故障排除 (p. 27) 之外, 以下网站提供有用的工具和资源, 用于设置并管理 SSL 证书 : http://docs.oracle.com/javase/1.5.0/docs/tooldocs/windows/keytool.ht ml www.sslshopper.com 第 1 章 : 简介 9

第 2 章 : 实施 1024 位自签名 SSL 证书 本章说明如何配置 UMP 使用 1024 位自签名 SSL 证书 以下流程图所示为实施 1024 位自签名 SSL 证书的高级步骤 上述图中的步骤对应于下节 1024 位自签名证书过程 (p. 11) 中的步骤 1024 位自签名证书过程 本节描述如何修改 wasp.cfg 文件, 以便将 SSL 通信用于 UMP 在这些更改生效时,1024 位自签名证书在 wasp.keystore 中自动生成并存储 注意 : 自动生成的 1024 位 SSL 证书有一年的有效期 第 2 章 : 实施 1024 位自签名 SSL 证书 11

1024 位自签名证书过程 1. 修改 wasp.cfg 来使用 HTTPS: a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器, 并且找到 wasp 探针 c. 右键单击 wasp 探针时按 <Ctrl> 键, 然后选择 原始配置 d. 设置部分被突出显示后, 找到 https_port 密钥, 然后单击 编辑键 以指定端口 在必要时, 单击 新建键 并输入 https_port 注意 : 您可以设置的最大端口值是 65535 e. 编辑 https_max_threads 键, 以配置并行 http 请求的数目 默认值为 500 单击 确定 后,wasp 即被配置为使用 HTTPS 连接 wasp 首次在启用 HTTPS 的情况下启动时, 新的密钥存储 wasp.keystore 将生成并存储在 <UMP_installation>/probes/service/wasp/conf 此外, 1024 位自签名证书生成并存储在 wasp.keystore 文件中 注意 : 如果使用 Mozilla Firefox 作为浏览器并使用自签名证书, 您必须设置 wasp 配置变量 webapps/sdp/use_html_upload=1 以上传图像和显示板 这是由于 Adobe FlashPlayer 插件的限制 2. 重新启动 wasp wasp 便被配置为通过 1024 位自签名证书使用 SSL 3. 测试 HTTPS 连接 : a. 确认您现在可以使用 HTTPS 访问 UMP b. 单击浏览器地址窗口中 URL 左侧的 锁定 图标以查看有关连接的信息 4. 设置自动 HTTP 至 HTTPS 重定向 : a. 找到以下目录 : <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/RO OT/WEB-INF/classes. b. 在文本编辑器中打开文件 portal-ext.properties c. 在 portal-ext.properties 文件的底部, 添加行 web.server.protocol=https d. 保存 portal-ext.properties 文件, 然后重新启动 wasp 探针 UMP 便配置为将 HTTP 登录尝试重定向到 HTTPS 12 HTTPS 实施指南

第 3 章 : 实施 2048 位自签名 SSL 证书 本章说明如何配置 UMP 使用 2048 位自签名 SSL 证书 以下流程图所示为实施 2048 位自签名 SSL 证书的高级步骤 上述图中的步骤对应于下节 2048 位自签名证书过程 (p. 14) 中的步骤 第 3 章 : 实施 2048 位自签名 SSL 证书 13

2048 位自签名证书过程 2048 位自签名证书过程 完成以下步骤 : 1. 修改 wasp.cfg 来使用 HTTPS: a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器, 并且找到 wasp 探针 c. 右键单击 wasp 探针时按 <Ctrl> 键, 然后选择 原始配置 d. 设置部分被突出显示后, 找到 https_port 密钥, 然后单击 编辑键 以指定端口 在必要时, 单击 新建键 并输入 https_port 注意 : 您可以设置的最大端口值是 65535 e. 编辑 https_max_threads 键, 以配置并行 http 请求的数目 默认值为 500 单击 确定 后,wasp 即被配置为使用 HTTPS 连接 wasp 首次在启用 HTTPS 的情况下启动时, 新的密钥存储 wasp.keystore 将生成并存储在 <UMP_installation>/probes/service/wasp/conf 此外, 1024 位自签名证书生成并存储在 wasp.keystore 文件中 注意 : 如果使用 Mozilla Firefox 作为浏览器并使用自签名证书, 您必须设置 wasp 配置变量 webapps/sdp/use_html_upload=1 以上传图像和显示板 这是由于 Adobe FlashPlayer 插件的限制 14 HTTPS 实施指南

安全地记下设置的密码, 以备将来使用 2048 位自签名证书过程 2. 重新初始化 wasp.keystore 并且重置其密码 重要信息! 只有当以下至少一个陈述为真时, 才执行以下子步骤 : 您不知道 wasp.keystore 的密码 您首次配置 UMP 使用 HTTPS 如果上述陈述都为假, 请在使用以下子步骤之前, 首先阅读并理解 ssl_reinitialize_keystore 回调 (p. 8) a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器 c. 单击 wasp 探针以突出显示它 d. 按 <Ctrl>+<P> 以打开该探针实用工具 e. 在下拉菜单中 探针命令集 下, 选择 ssl_reinitialize_keystore f. 输入新密码作为参数 注意 : 使用至少六个字符长的密码 wasp 探针实用工具不会阻止您使用较短的密码, 但您将无法按这些步骤后面所述更改 wasp.keystore g. 单击绿色播放按钮以运行回调 命令状态条显示文本正常 3. 使用 2048 位私钥生成公钥和私钥对 : a. 在运行 UMP 的服务器上打开管理员命令提示符 注意 : 在与 wasp.keystore 文件相同的目录 ( 通常是 <UMP_installation>/probes/service/wasp/conf) 中, 运行以下 keytool 命令 keytool 实用工具位于 JRE 所在的目录 ( 通常是 <UMP_installation>/jre/<jre_version>/bin/keytool) b. 确认您具有 wasp.keystore 的有效密码 : <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore c. 删除自动生成的私钥 : <UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias wasp -keystore wasp.keystore d. 确认密钥已删除 : <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore e. 使用 2048 位私钥生成公钥和私钥对 : <UMP_installation>/jre/<jre_version>/bin/keytool -genkeypair -alias wasp -keyalg RSA -keysize 2048 -keystore wasp.keystore validity <days_cert_is_valid> 第 3 章 : 实施 2048 位自签名 SSL 证书 15

2048 位自签名证书过程 f. 在提示您输入您的姓名时, 输入 FQDN g. 出现提示时, 输入下面的相关内容 : 组织单位 组织 城市或地区 州或省 自治区或直辖市 二字母国家代码 系统会提示您确认您输入的信息是正确的 4. 将公钥和私钥对导入 wasp.keystore: <UMP_installation>/jre/<jre_version>/bin/keytool import trustcacerts alias wasp file <my_domain>.crt keystore wasp.keystore 5. 重新启动 wasp wasp 便被配置为通过 2048 位自签名证书使用 SSL 6. 测试 HTTPS 连接 : a. 确认您现在可以使用 HTTPS 访问 UMP b. 单击浏览器地址窗口中 URL 左侧的 锁定 图标以查看有关连接的信息 7. 记录证书信息 : a. 如果您使用 ssl_reinitialize_keystore 回调, 安全地记下您为 wasp.keystore 设置的新密码 b. 确保您您为该证书设置的有效期 c. 将证书文件备份到安全的位置 8. 设置自动 HTTP 至 HTTPS 重定向 : a. 找到以下目录 : <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/RO OT/WEB-INF/classes. b. 在文本编辑器中打开文件 portal-ext.properties c. 在 portal-ext.properties 文件的底部, 添加行 web.server.protocol=https d. 保存 portal-ext.properties 文件, 然后重新启动 wasp 探针 UMP 便配置为将 HTTP 登录尝试重定向到 HTTPS 16 HTTPS 实施指南

第 4 章 : 实施授权签名的 SSL 证书 下列流程图中显示实施授权签名证书的高级步骤 上图中的步骤对应于 授权签名的 SSL 证书过程 (p. 19) 部分中的步骤 第 4 章 : 实施授权签名的 SSL 证书 17

实体 中间和根证书 实体 中间和根证书 一些证书颁发机构颁发中间或连锁证书 如果您的证书颁发机构颁发连锁证书, 通常您将收到以下证书文件 : 实体证书 一个或多个中间证书 可能也包括根证书 您必须上传证书颁发机构提供的实体证书和任何中间证书 您可能不需要上传根证书 这是因为,NMS 安装会自动安装 Java Runtime Environment (JRE), 其中包括许多证书颁发机构的根证书 但是, 您的证书颁发机构可能提供新的根证书并且建议您上传它 查看根证书 您可以查看在 NMS 安装期间随 JRE 自动安装的根证书 完成以下步骤 : 1. 在运行 UMP 的服务器上打开管理员命令提示符 2. 更改目录, 如下所示 : cd <UMP_installation>/jre/<jre_version>/lib/security 3. 执行以下命令 : <UMP_installation>/jre/<jre_version>/bin/keytool keytool -list -keystore cacerts 系统提示您输入密钥存储密码 在您输入有效的密码之后, 系统在 cacerts 文件中显示默认根证书 18 HTTPS 实施指南

证书颁发机构签名的 SSL 证书过程 证书颁发机构签名的 SSL 证书过程 完成以下步骤 : 1. 修改 wasp.cfg 来使用 HTTPS: a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器, 并且找到 wasp 探针 c. 右键单击 wasp 探针时按 <Ctrl> 键, 然后选择 原始配置 d. 设置部分被突出显示后, 找到 https_port 密钥, 然后单击 编辑键 以指定端口 在必要时, 单击 新建键 并输入 https_port 注意 : 您可以设置的最大端口值是 65535 e. 编辑 https_max_threads 键, 以配置并行 http 请求的数目 默认值为 500 单击 确定 后,wasp 即被配置为使用 HTTPS 连接 wasp 首次在启用 HTTPS 的情况下启动时, 新的密钥存储 wasp.keystore 将生成并存储在 <UMP_installation>/probes/service/wasp/conf 此外, 1024 位自签名证书生成并存储在 wasp.keystore 文件中 2. 重新初始化 wasp.keystore 并且重置其密码 重要信息! 只有当以下至少一个陈述为真时, 才执行以下子步骤 : 您不知道 wasp.keystore 的密码 您首次配置 UMP 使用 HTTPS 如果上述陈述都为假, 请在使用以下子步骤之前, 首先阅读并理解 ssl_reinitialize_keystore 回调 (p. 8) a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器 c. 单击 wasp 探针以突出显示它 d. 按 <Ctrl>+<P> 以打开该探针实用工具 e. 在下拉菜单中 探针命令集 下, 选择 ssl_reinitialize_keystore f. 输入新密码作为参数 注意 : 使用至少六个字符长的密码 wasp 探针实用工具不会阻止您使用较短的密码, 但您将无法按这些步骤后面所述更改 wasp.keystore g. 单击绿色播放按钮以运行回调 命令状态条显示文本正常 h. 安全地记下设置的密码, 以备将来使用 第 4 章 : 实施授权签名的 SSL 证书 19

证书颁发机构签名的 SSL 证书过程 3. 生成公钥和私钥对 : a. 在运行 UMP 的服务器上打开管理员命令提示符 注意 : 在与 wasp.keystore 文件相同的目录 ( 通常是 <UMP_installation>/probes/service/wasp/conf) 中, 运行以下 keytool 命令 keytool 实用工具位于 JRE 所在的目录 ( 通常是 <UMP_installation>/jre/<jre_version>/bin/keytool) b. 确认您具有 wasp.keystore 的有效密码 : <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore c. 删除自动生成的私钥 : <UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias wasp -keystore wasp.keystore d. 确认密钥已删除 : <UMP_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore e. 使用您需要的密钥大小生成公钥和私钥对 : <UMP_installation>/jre/<jre_version>/bin/keytool -genkeypair -alias wasp -keyalg RSA -keysize <key_size> -keystore wasp.keystore validity <days_cert_is_valid> f. 在提示您输入您的姓名时, 输入 FQDN g. 出现提示时, 输入下面的相关内容 : 组织单位 组织 城市或地区 州或省 自治区或直辖市 二字母国家代码 系统会提示您确认您输入的信息是正确的 4. 生成证书签名请求 (CSR) <UMP_installation>/jre/<jre_version>/bin/keytool -certreq -alias wasp -validity <days_cert_is_valid> -keystore wasp.keystore -file <your_domain>.csr 5. 创建 wasp.keystore 的备份副本 注意 : 这不是必需步骤, 但是强烈建议 如果在此过程中后面遇到问题,wasp.keystore 的备份副本将使您无需重复以前的步骤 20 HTTPS 实施指南

证书颁发机构签名的 SSL 证书过程 6. 将 CSR 提交到证书颁发机构 : a. 将 CSR 粘贴进证书颁发机构的 Web 表单 b. 删除 ----BEGIN CERTIFICATE REQUEST 之前和 END CERTIFICATE REQUEST---- 之后的任何字符 7. 将证书颁发机构签名的证书文件导入到 wasp.keystore: 注意 : 所有密钥存储项必须使用唯一的别名 您必须将别名 wasp 用于签名或实体证书 如果您的证书颁发机构提供多个中间证书, 则每个中间证书也必须使用唯一的别名 a. 如果您的证书颁发机构提供根证书, 将其导入 : <UMP_installation>/jre/<jre_version>/bin/keytool -import -trustcacerts -alias <root_certificate> -file <root_certificate>.cer -keystore wasp.keystore b. 导入第一个中间证书 : <UMP_installation>/jre/<jre_version>/bin/keytool -import -trustcacerts -alias <first_intermediate_certificate> -file <first_intermediate_certificate>.cer -keystore wasp.keystore c. 为每个其他中间证书重复上一步骤 d. 导入已签名的证书 如果您收到连锁证书, 这就是实体证书 : <UMP_installation>/jre/<jre_version>/bin/keytool import trustcacerts alias wasp file <your_domain>.crt keystore wasp.keystore 8. 重新启动 wasp wasp 现在即被配置为使用具有证书颁发机构签名的证书的 SSL 连接 9. 测试 HTTPS 连接 : a. 确认您现在可以使用 HTTPS 访问 UMP b. 单击浏览器地址窗口中 URL 左侧的 锁定 图标以查看有关连接的信息 10. 记录证书信息 : a. 如果您使用 ssl_reinitialize_keystore 回调, 安全地记下您为 wasp.keystore 设置的新密码 b. 确保您您为该证书设置的有效期 c. 将证书文件备份到安全的位置 第 4 章 : 实施授权签名的 SSL 证书 21

证书颁发机构签名的 SSL 证书过程 11. 设置自动 HTTP 至 HTTPS 重定向 : a. 找到以下目录 : <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/RO OT/WEB-INF/classes. b. 在文本编辑器中打开文件 portal-ext.properties c. 在 portal-ext.properties 文件的底部, 添加行 web.server.protocol=https d. 保存 portal-ext.properties 文件, 然后重新启动 wasp 探针 UMP 便配置为将 HTTP 登录尝试重定向到 HTTPS 22 HTTPS 实施指南

第 5 章 : 实施通配型 SSL 证书 本章描述如何配置 UMP 使用通配型 SSL 证书 通配型 SSL 证书允许您使用单个 SSL 证书 *.<your_domain>.com 保护您的域和不限数量的子域 以下流程图所示为实施通配型证书的高级步骤 上述图中的步骤对应于下节通配型证书过程 (p. 23) 中的步骤 通配型证书过程 在获得通配型证书之后, 使用本节中的步骤配置 UMP 第 5 章 : 实施通配型 SSL 证书 23

通配型证书过程 完成以下步骤 : 1. 修改 wasp.cfg 来使用 HTTPS: a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器, 并且找到 wasp 探针 c. 右键单击 wasp 探针时按 <Ctrl> 键, 然后选择 原始配置 d. 设置部分被突出显示后, 找到 https_port 密钥, 然后单击 编辑键 以指定端口 在必要时, 单击 新建键 并输入 https_port 注意 : 您可以设置的最大端口值是 65535 e. 编辑 https_max_threads 键, 以配置并行 http 请求的数目 默认值为 500 单击 确定 后,wasp 即被配置为使用 HTTPS 连接 wasp 首次在启用 HTTPS 的情况下启动时, 新的密钥存储 wasp.keystore 将生成并存储在 <UMP_installation>/probes/service/wasp/conf 此外, 1024 位自签名证书生成并存储在 wasp.keystore 文件中 2. 重新初始化 wasp.keystore 并且重置其密码 重要信息! 只有当以下至少一个陈述为真时, 才执行以下子步骤 : 您不知道 wasp.keystore 的密码 您首次配置 UMP 使用 HTTPS 如果上述陈述都为假, 请在使用以下子步骤之前, 首先阅读并理解 ssl_reinitialize_keystore 回调 (p. 8) a. 打开基础架构管理器 b. 导航到运行 UMP 的服务器 c. 单击 wasp 探针以突出显示它 d. 按 <Ctrl>+<P> 以打开该探针实用工具 e. 在下拉菜单中 探针命令集 下, 选择 ssl_reinitialize_keystore f. 输入新密码作为参数 注意 : 使用至少六个字符长的密码 wasp 探针实用工具不会阻止您使用较短的密码, 但您将无法按这些步骤后面所述更改 wasp.keystore g. 单击绿色播放按钮以运行回调 命令状态条显示文本正常 h. 安全地记下设置的密码, 以备将来使用 3. 将公钥和私钥对导入 wasp.keystore: a. 在运行 UMP 的服务器上打开管理员命令提示符 24 HTTPS 实施指南

通配型证书过程 注意 : 在与 wasp.keystore 文件相同的目录 ( 通常是 <UMP_installation>/probes/service/wasp/conf) 中, 运行以下 keytool 命令 keytool 实用工具位于 JRE 所在的目录 ( 通常是 <UMP_installation>/jre/<jre_version>/bin/keytool) b. 执行以下 keytool 命令, 以验证 wasp 别名 : <Nimsoft_installation>/jre/<jre_version>/bin/keytool -list -alias wasp -keystore wasp.keystore c. 执行以下命令, 以导入证书和密钥 : <Nimsoft_installation>/jre/<jre_version>/bin/keytool -import -keystore wasp.keystore -srckeystore <my_keystore>.p12 -srcstoretype PKCS12 -alias wasp d. 在 具有别名 wasp 的条目已存在, 覆盖吗? 提示下选择 是 e. 执行以下命令以确认 wasp.keystore 已更新 : <Nimsoft_installation>/jre/<jre_version>/bin/keytool -list -keystore wasp.keystore 4. 重新启动 wasp wasp 即被配置为使用通配型证书 5. 测试 HTTPS 连接 : a. 确认您现在可以使用 HTTPS 访问 UMP b. 单击浏览器地址窗口中 URL 左侧的 锁定 图标以查看有关连接的信息 6. 记录证书信息 : a. 如果您使用 ssl_reinitialize_keystore 回调, 安全地记下您为 wasp.keystore 设置的新密码 b. 确保您您为该证书设置的有效期 c. 将证书文件备份到安全的位置 7. 设置自动 HTTP 至 HTTPS 重定向 : a. 找到以下目录 : <Nimsoft_installation>/Nimsoft/probes/service/wasp/webapps/RO OT/WEB-INF/classes. b. 在文本编辑器中打开文件 portal-ext.properties c. 在 portal-ext.properties 文件的底部, 添加行 web.server.protocol=https d. 保存 portal-ext.properties 文件, 然后重新启动 wasp 探针 UMP 便配置为将 HTTP 登录尝试重定向到 HTTPS 第 5 章 : 实施通配型 SSL 证书 25

通配型证书过程 26 HTTPS 实施指南

附录 A: SSL 证书故障排除 此附录说明如何帮助您解决对 UMP 实施 SSL 的问题 此部分包含以下主题 : 别名 <wasp> 已存在 (p. 27) 别名 wasp 无法识别某一密钥项 (p. 27) 给定最后块异常 (p. 28) 找不到 keytool 命令 (p. 28) 签名人证书不匹配颁发机构名称 (p. 29) 别名 <wasp> 已存在 症状 : 我看到异常 : java.lang.exception: 密钥对未生成, 别名 <wasp> 已存在 解决方案 : 所有密钥存储项必须有唯一的别名 配置 wasp.cfg 以启用 SSL 时, 使用别名 wasp 的 1024 位自签名证书在 wasp.keystore 自动生成 要使用不同的证书, 您必须首先删除此密钥存储项 在与 wasp.keystore 相同的目录中, 执行以下 keytool 命令 : <UMP_installation>/jre/<jre_version>/bin/keytool -delete -alias wasp -keystore wasp.keystore 别名 wasp 无法识别某一密钥项 症状 : 我看到异常 : java.io.ioexception: 别名 wasp 无法识别某一密钥项 解决方案 : 如果您使用 Microsoft Internet 信息服务 (IIS) 生成 CSR, 就可能出现该异常 如果您使用 IIS, 那么从证书颁发机构获取的证书和密钥的格式可能无法导入 wasp.keystore 在这种情况下, 您必须将证书文件转成 PKCS#12, 或 PFX 格式, 才能将它们导入 附录 A: SSL 证书故障排除 27

给定最后块异常 注意 : 以下需要提供加密功能的库 OpenSSL 您可以从 http: //www.openssl.org/related/binaries.html 获得二进制分发包 执行以下 openssl 命令, 将证书转成 PFX 格式 : openssl pkcs12 -export -out <pfx_file>.pfx -inkey <private_key>.key -in <cert_file>.crt -certfile CACert.crt 要获得更多转换证书文件的帮助, 请参阅网站 https://www.sslshopper.com 给定最后块异常 症状 : 我看到异常 : javax.crypto.badpaddingexception: 未适当填充给定最后块 解决方案 : 注意 : 以下需要提供加密功能的库 OpenSSL 您可以从 http: //www.openssl.org/related/binaries.html 获得二进制分发包 执行以下 OpenSSL 命令以覆盖密钥存储中的现有 wasp 别名 : openssl pkcs12 -in <my_pfx_file>.pfx -out <my_pem_file>.pem openssl pkcs12 -export -in <my_pem_file> -out <my_keystore>.p12 -name wasp 找不到 keytool 命令 症状 : 执行 keytool 命令时, 出现找不到该命令的消息 解决方案 : 确认在 $PATH 系统变量中为 java.exe 和 keytool 设置了路径 : 1. 在运行 UMP 的服务器上打开管理员命令提示符 2. 在和 wasp.keystore 相同的目录 ( 通常 <UMP_installation>/probes/service/wasp/conf) 下执行以下命令 : java -version 3. 如果系统返回错误, 而不是 Java 版本信息, 请将 java.exe 和 keytool 的路径添加到 $PATH 系统变量中 28 HTTPS 实施指南

签名人证书不匹配颁发机构名称 签名人证书不匹配颁发机构名称 症状 : 我看到异常 : java.security.cert.certificateexception: 签名人证书的主体名不匹配提供的证书连锁的颁发机构名称 解决方案 : 如果您的证书颁发机构发布连锁证书, 但中间证书却并未上传, 便可能会出现该异常或类似异常 您必须上传证书颁发机构提供的实体证书和任何中间证书 在和 wasp.keystore 相同的目录 ( 通常 <UMP_installation>/probes/service/wasp/conf) 下执行以下 keytool 命令 : <UMP_installation>/jre/<jre_version>/bin/keytool -import -keystore wasp.keystore -trustcacerts -file <intermediate_cert>.cer 注意 : 所有密钥存储项必须使用唯一的别名 您必须将别名 wasp 用于签名或实体证书 如果您的证书颁发机构提供多个中间证书, 则每个中间证书也必须使用唯一的别名 有关详细信息, 请参阅实体 中间和根证书 (p. 18) 一节 附录 A: SSL 证书故障排除 29