HINWEIS:Die Informationen in diesem Abschnitt gelten nicht für OES Linux oder OES NetWare, da dort sowohl Tomcat als auch Apache installiert werden. In der OES Linux-Dokumentation finden Sie Informationen dazu, wie das eigensignierte Apache-/Tomcat-Zertifikat ersetzt werden kann.
Eigenständige iManager-Installationen enthalten ein vorübergehendes, selbstsigniertes Zertifikat für die Verwendung durch Tomcat. Dieses Zertifikat ist ein Jahr lang gültig.
Es ist nicht für eine langfristige Implementierung gedacht. Vielmehr handelt es sich um eine vorläufige Lösung für den Anfang, damit Sie nach der Installation sicher mit iManager arbeiten können. OpenSSL empfiehlt, eigensignierte Zertifikate ausschließlich für Testzwecke zu verwenden.
Eine Schwierigkeit beim Ersetzen des eigensignierten Zertifikats besteht darin, dass der von Tomcat verwendete standardmäßige Keystore im Tomcat-Format vorliegt, also als {JKS}-Datei. Mit dem Tool zur Bearbeitung dieses Keystore, keytool, kann kein privater Schlüssel importiert werden. Hier kann nur ein selbstgenerierter Schlüssel verwendet werden.
Wenn Sie mit eDirectory arbeiten, können Sie mit Novell Certificate Server auf sichere Weise Zertifikate generieren, verfolgen, speichern und widerrufen, ganz ohne zusätzliche Investition. Befolgen Sie die unten aufgeführten Anweisungen für Ihre jeweilige Plattform, um in eDirectory mit Novell Certificate Server ein Paar mit einem öffentlichen und einem privaten Schlüssel zu generieren.
Aus den nachfolgenden Anweisungen geht hervor, wie ein Schlüsselpaar in eDirectory erstellt werden kann und wie die öffentlichen und privaten Schlüssel sowie die Root-Schlüssel der Zertifizierungsstelle (Certificate Authority, CA) auf der Linux-Plattform über eine PKCS 12-Datei exportiert werden können. Hierzu muss u. a. die Tomcat-Konfigurationsdatei server.xml so bearbeitet werden, dass die PKCS 12-Direktive verwendet wird, und die Konfiguration muss auf eine tatsächlich vorhandene P12-Datei verweisen (es kann nicht der standardmäßige JKS-Keystore verwendet werden).
An diesem Vorgang sind folgende Dateien beteiligt:
Das temporäre Schlüsselpaar wird in der Datei /var/opt/novell/novlwww/.keystore verwaltet.
Die Herkunftsverbürgung ist in der Datei /etc/opt/novell/java/security/cacerts zu finden.
/etc/opt/novell/tomcat5/server.xml ist die Datei, mit der konfiguriert wird, wie Tomcat Zertifikate verwendet.
Erstellen Sie mit iManager ein neues Serverzertifikat.
Klicken Sie in iManager auf "Novell Certificate Server" > "Serverzertifikat erstellen". Wählen Sie den entsprechenden Server aus, geben Sie einen Kurznamen an und akzeptieren Sie die restlichen Zertifikat-Standardwerte.
Exportieren Sie das Serverzertifikat in das Tomcat-Basisverzeichnis (/var/opt/novell/novlwww). Wählen Sie in iManager die Optionsfolge "Verzeichnisverwaltung" > "Objekt bearbeiten". Wechseln Sie zum KMO-Objekt und wählen Sie es aus. Wählen Sie auf der Registerkarte "Zertifikate" die Option "Exportieren". Geben Sie ein Passwort an und speichern Sie das Serverzertifikat als PKCS 12-Datei (.pfx).
Konvertieren Sie die .pfx-Datei in eine .pem-Datei.
Verwenden Sie hierzu einen Befehl, der diesem ähnelt:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Geben Sie das bei Schritt 2 angegebene Zertifikatspasswort an und geben Sie ein Passwort für die neue .pem-Datei an. Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Konvertieren Sie die .pem-Datei in eine .p12-Datei.
Verwenden Sie hierzu einen Befehl, der diesem ähnelt:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Geben Sie das bei Schritt 3 angegebene Passwort an und geben Sie ein Passwort für die neue .p12-Datei an. Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Halten Sie Tomcat an.
/etc/init.d/novell-tomcat5 stop
Bearbeiten Sie die Tomcat-Konfigurationsdatei ( /etc/opt/novell/tomcat5/server.xml) und fügen Sie die Variablen keystoreType, keystoreFile und keystorePass hinzu, damit Tomcat die neu erstellte .p12-Zertifikatsdatei verwenden kann. Beispiel:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" /></Connector>
Wenn Sie den Keystore-Typ auf PKCS12 einstellen, müssen Sie den vollständigen Pfad der Zertifikatsdatei angeben, da Tomcat nicht mehr standardmäßig den Tomcat-Basispfad verwendet.
Ändern Sie den Eigentümer der .p12-Datei in den entsprechenden Tomcat-Benutzer/die entsprechende Tomcat-Gruppe (im Normalfall novlwww) und legen Sie die Dateiberechtigungen als user=rw, group=rw und others=r fest. Beispiel:
chown novlwww:novlwww newtomcert.p12
chmod 654 newtomcert.p12
Starten Sie Tomcat neu. Beispiel:
/etc/init.d/novell-tomcat5 start
Aus den nachfolgenden Anweisungen geht hervor, wie ein Schlüsselpaar in eDirectory erstellt werden kann und wie die öffentlichen und privaten Schlüssel sowie die Root-Schlüssel der Zertifizierungsstelle (Certificate Authority, CA) auf der Windows-Plattform über eine PKCS #12-Datei exportiert werden können. Hierzu muss u. a. die Tomcat-Konfigurationsdatei server.xml so bearbeitet werden, dass die PKCS 12-Direktive verwendet wird, und die Konfiguration muss auf eine tatsächlich vorhandene P12-Datei verweisen (es kann nicht der standardmäßige JKS-Keystore verwendet werden).
An diesem Vorgang sind folgende Dateien (einschließlich der standardmäßigen Standorte) beteiligt:
Das temporäre Schlüsselpaar: C:\Programme\Novell\Tomcat\conf\ssl\. Keystore.
Die Herkunftsverbürgungszertifikate: C:\Programme\Novell\jre\lib\security\cacerts
Konfiguration der Verwendung des Tomcat-Zertifikats: C:\Programme\Novell\Tomcat\conf\server.xml
Erstellen Sie mit iManager ein neues Serverzertifikat.
Klicken Sie in iManager auf "Novell Certificate Server" > "Serverzertifikat erstellen". Wählen Sie den entsprechenden Server aus, geben Sie einen Kurznamen an und akzeptieren Sie die restlichen Zertifikat-Standardwerte.
Exportieren Sie das Serverzertifikat. Wählen Sie in iManager die Optionsfolge "Verzeichnisverwaltung" > "Objekt bearbeiten". Wechseln Sie zum KMO-Objekt und wählen Sie es aus. Wählen Sie auf der Registerkarte "Zertifikate" die Option "Exportieren". Geben Sie ein Passwort an und speichern Sie das Serverzertifikat als PKCS 12-Datei (.pfx).
Konvertieren Sie die .pfx-Datei in eine .pem-Datei.
HINWEIS:OpenSSL wird unter Windows nicht standardmäßig installiert, auf der OpenSSL-Website steht jedoch eine Version für die Windows-Plattform zur Verfügung. Sie können das Zertifikat auch auf einer Linux-Plattform konvertieren, auf der OpenSSL standardmäßig installiert ist.
Verwenden Sie hierzu einen Befehl, der diesem ähnelt:
openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem
Geben Sie das in Schritt 2 angegebene Zertifikatspasswort und ein Passwort für die neue .pem-Datei an. Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Konvertieren Sie die .pem-Datei in eine .p12-Datei.
Verwenden Sie hierzu einen Befehl, der diesem ähnelt:
openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"
Geben Sie das bei Schritt 3 angegebene Passwort an und geben Sie ein Passwort für die neue .p12-Datei an. Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Kopieren Sie die .p12-Datei an den Standort mit dem Tomcat-Zertifikat.
Standardmäßig handelt es sich hierbei um C:\Programme\Novell\Tomcat\conf\ssl\.
Stoppen Sie den Tomcat-Dienst.
/etc/init.d/novell-tomcat5 stop
Bearbeiten Sie die Tomcat-Datei server.xml und fügen Sie die Variablen keystoreType, keystoreFile und keystorePass hinzu, damit Tomcat die neu erstellte .p12-Zertifikatsdatei verwenden kann. Beispiel:
<Connector className="org.apache.coyote.tomcat5.CoyoteConnector" port="8443" minProcessors="5" maxProcessors="75" enableLookups="true" acceptCount="100" debug="0" scheme="https" secure="true" useURIValidationHack="false" disableUploadTimeout="true"> <Factory className="org.apache.coyote.tomcat5.CoyoteServerSocketFactory" clientAuth="false" protocol="TLS" keystoreType="PKCS12" keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Wenn Sie den Keystore-Typ auf PKCS12 einstellen, müssen Sie den vollständigen Pfad der Zertifikatsdatei angeben, da Tomcat nicht mehr standardmäßig den Tomcat-Basispfad verwendet.
Starten Sie den Tomcat-Dienst.