===== Замена SSL сертификата веб-сервера Symantec LiveUpdate Administrator 2.3.6 ===== {{:symantec:pasted:20170519-203525.png }} Одной из задач, которая может возникнуть перед администратором **Symantec LiveUpdate Administrator** (**LUA**), является замена автоматически сгенерированного в процессе установки само-подписанного цифрового SSL-сертификата, который используется для защиты соединения веб-сервером **Tomcat** из состава LUA. Чтобы выполнить данную задачу, за основу возьмём последовательность действий, описанную в посте [[https://www.niwis.com/forum/forum/endpoint-security/symantec-endpoint-protection-11-12/tipps-tricks/32719-liveupdate-administrator-?-howto-changing-the-ssl-certificate|LiveUpdate Administrator – HOWTO changing the SSL Certificate]] \\ ==== Получение сертификата в формате PFX ==== Первый делом получаем из доверенного Центра Сертификации (ЦС) сертификат в формате **PKCS #12** [.**PFX**], содержащий все желаемые имена для нашего веб-сервера LUA. В моём случае используется SAN-сертификат, полученный от ЦС на базе Windows Server. Сертификат был запрошен непосредственно с сервера LUA (через оснастку управления сертификатами в **mmc.exe**). При формировании запроса сертификата нужно учесть ряд параметров: * Алгоритм подписи **SHA256** * Открытый ключ **RSA (2048 Bit)** * Включён признак возможности экспорта закрытого ключа После того, ка сертификат получен от ЦС и установлен на сервер, через оснастку управления сертификатами в **mmc.exe** выполняем экспорт этого сертификата в паре с закрытым ключом в защищённый паролем **PFX**-файл. {{ :symantec:pasted:20170519-205741.png }} \\ ==== Замена файла Java Keystore ==== Базовую информацию о замене сертификата в LUA можем посмотреть в документе [[https://support.symantec.com/en_US/article.TECH227252.html|Symantec Article TECH227252 - Replace LiveUpdate Administrator certificate]]. Кратко говоря, LUA использует веб-сервер **Tomcat**, который в свою очередь, использует файл формата **Java Keystore** (**JKS**) для хранения сертификата и его закрытого ключа. Нам потребуется создать новый JKS-файл и заменить этим файлом JKS-файл, используемый в Tomcat. Имя этого файла **server-cert.ssl** и хранится он в каталоге установки LUA. По умолчанию это каталог **C:\Program Files (x86)\Symantec\LiveUpdate Administrator\**. Итак, нам нужно удалить используемый JKS-файл **server-cert.ssl**, предварительно сохранив его копию (на случай возврата на прежнее место, если что-то пойдёт "не так") Открываем с правами Администратора командную строку и переходим в каталог установки LUA:
Делаем резервную копию JKS-файла и затем удаляем его:cd /d C:\Program Files (x86)\Symantec\LiveUpdate Administrator
Переходим в каталог подкаталог **\jre\bin** в каталоге установки LUA:copy server-cert.ssl server-cert.ssl.orig del server-cert.ssl
Конвертируем **PFX**-файл в новый **JKS**-файл хранилища сертификатов (будет сгенерирован новый файл **server-cert.ssl**), указав пароль от PFX-файла (в нашем примере ''pfxP@ssw0rd'') и задав собственный пароль для создаваемого JKS-хранилища (в нашем примере ''LuAjKsPazW0rd''):cd /d C:\Program Files (x86)\Symantec\LiveUpdate Administrator\jre\bin
В процессе генерации будет выведено соообщение типа:keytool.exe -importkeystore -srckeystore "C:\Temp\cert.pfx" \
-destkeystore "C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl" \
-srcstoretype PKCS12 -deststoretype JKS \
-srcstorepass pfxP@ssw0rd -deststorepass LuAjKsPazW0rd
Поменяем **алиас** имортированного сертификата с сгенерированного значения (в нашем примере ''le-7e56697b-1b56-485c-88de-1b05f8c49375'') на значение ''lua''Entry for alias le-7e56697b-1b56-485c-88de-1b05f8c49375 successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
Чтобы проверить список сертификатов имеющихся в **JKS**-хранилище можно выполнить команду:keytool.exe -changealias \
-alias le-7e56697b-1b56-485c-88de-1b05f8c49375 -destalias lua \
-keypass pfxP@ssw0rd -storepass LuAjKsPazW0rd \
-keystore "C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl"
Дополнительно устанавливаем **пароль** на доступ к ключу в **JKS**-хранилище таким же, как установлен пароль на доступ к самому хранилищу:keytool.exe -list -v \
-keystore "C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl" \
-storepass LuAjKsPazW0rd
Не забываем удалить PFX-файл из временной папки:keytool.exe -keypasswd -alias lua \
-keypass pfxP@ssw0rd -new LuAjKsPazW0rd -storepass LuAjKsPazW0rd \
-keystore "C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl"
\\ ==== Правка catalina.properties ==== Найдём файл **catalina.properties** в подкаталоге **\tomcat\conf** каталога установки LUA. Откроем этот файл в текстовом редакторе и закомментируем строку (постваим символ # в начале строки):del "C:\Temp\cert.pfx"
net stop LUATomcat & net start LUATomcat