symantec:synamtec-liveupdate-administrator-2-3-howto-changing-replace-ssl-certificate
Различия
Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия | ||
symantec:synamtec-liveupdate-administrator-2-3-howto-changing-replace-ssl-certificate [19.05.2017 20:25] – Алексей Максимов | symantec:synamtec-liveupdate-administrator-2-3-howto-changing-replace-ssl-certificate [19.05.2017 21:39] (текущий) – Алексей Максимов | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
===== Замена SSL сертификата веб-сервера Symantec LiveUpdate Administrator 2.3.6 ===== | ===== Замена SSL сертификата веб-сервера Symantec LiveUpdate Administrator 2.3.6 ===== | ||
+ | |||
+ | {{: | ||
+ | |||
+ | Одной из задач, которая может возникнуть перед администратором **Symantec LiveUpdate Administrator** (**LUA**), является замена автоматически сгенерированного в процессе установки само-подписанного цифрового SSL-сертификата, | ||
+ | |||
+ | \\ | ||
+ | ==== Получение сертификата в формате PFX ==== | ||
+ | |||
+ | Первый делом получаем из доверенного Центра Сертификации (ЦС) сертификат в формате **PKCS #12** [.**PFX**], содержащий все желаемые имена для нашего веб-сервера LUA. В моём случае используется SAN-сертификат, | ||
+ | * Алгоритм подписи **SHA256** | ||
+ | * Открытый ключ **RSA (2048 Bit)** | ||
+ | * Включён признак возможности экспорта закрытого ключа | ||
+ | |||
+ | После того, ка сертификат получен от ЦС и установлен на сервер, | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | \\ | ||
+ | ==== Замена файла Java Keystore ==== | ||
+ | |||
+ | Базовую информацию о замене сертификата в LUA можем посмотреть в документе [[https:// | ||
+ | |||
+ | |||
+ | Имя этого файла **server-cert.ssl** и хранится он в каталоге установки LUA. По умолчанию это каталог **C: | ||
+ | |||
+ | Итак, нам нужно удалить используемый JKS-файл **server-cert.ssl**, | ||
+ | |||
+ | Открываем с правами Администратора командную строку и переходим в каталог установки LUA: | ||
+ | |||
+ | < | ||
+ | |||
+ | Делаем резервную копию JKS-файла и затем удаляем его: | ||
+ | |||
+ | < | ||
+ | del server-cert.ssl</ | ||
+ | |||
+ | Переходим в каталог подкаталог **\jre\bin** в каталоге установки LUA: | ||
+ | |||
+ | < | ||
+ | |||
+ | Конвертируем **PFX**-файл в новый **JKS**-файл хранилища сертификатов (будет сгенерирован новый файл **server-cert.ssl**), | ||
+ | |||
+ | < | ||
+ | |||
+ | В процессе генерации будет выведено соообщение типа: | ||
+ | |||
+ | < | ||
+ | Import command completed: | ||
+ | |||
+ | Поменяем **алиас** имортированного сертификата с сгенерированного значения (в нашем примере '' | ||
+ | |||
+ | < | ||
+ | |||
+ | Чтобы проверить список сертификатов имеющихся в **JKS**-хранилище можно выполнить команду: | ||
+ | |||
+ | < | ||
+ | |||
+ | Дополнительно устанавливаем **пароль** на доступ к ключу в **JKS**-хранилище таким же, как установлен пароль на доступ к самому хранилищу: | ||
+ | |||
+ | < | ||
+ | |||
+ | Не забываем удалить PFX-файл из временной папки: | ||
+ | |||
+ | < | ||
+ | |||
+ | \\ | ||
+ | ==== Правка catalina.properties ==== | ||
+ | |||
+ | Найдём файл **catalina.properties** в подкаталоге **\tomcat\conf** каталога установки LUA. Откроем этот файл в текстовом редакторе и закомментируем строку (постваим символ # в начале строки): | ||
+ | |||
+ | <file ini catalina.properties> | ||
+ | org.apache.tomcat.util.digester.PROPERTY_SOURCE=com.symantec.lua.SSLPasswordDecrypt | ||
+ | ...</ | ||
+ | |||
+ | Аналогичным образом закомментируем строку со старым параметром '' | ||
+ | В конечном итоге конец файла **catalina.properties** примет примерно следующий вид: | ||
+ | |||
+ | <file ini catalina.properties> | ||
+ | ks.password=LuAjKsPazW0rd | ||
+ | # ks.password=YqnftEU2J4Og5oF98l6eGQ== | ||
+ | # org.apache.tomcat.util.digester.PROPERTY_SOURCE=com.symantec.lua.SSLPasswordDecrypt</ | ||
+ | |||
+ | \\ | ||
+ | ==== Перезапуск LUA ==== | ||
+ | |||
+ | Чтобы веб-сервер LUA подхватил наше новое JKS-хранилище, | ||
+ | |||
+ | < | ||
+ | |||
+ | <WRAP center tip 100%> | ||
+ | Имейте ввиду, что служба может останавливаться длительное время.\\ | ||
+ | Кроме того, после запуска службы веб-консоль сервера LUA может быть недоступна длительно время (до тех пор пока не закончится инициализация веб-приложения). | ||
+ | </ | ||
+ | |||
+ | \\ | ||
+ | ==== Проверяем результат ==== | ||
+ | |||
+ | В свойствах ярлыка для запуска LiveUpdate Administrator есть ссылка на файл "'' | ||
+ | |||
+ | <file cmd Administrator.bat> | ||
+ | |||
+ | После этого запускаем ярлык и проверяем результат - веб-консоль LUA должна использовать для протокола HTTPS установленный нами в JKS-хранилище сертификат, | ||
+ | |||
+ | |||
---- | ---- | ||
{{: | {{: | ||
- | {{tag> | + | {{tag> |
~~DISCUSSION~~ | ~~DISCUSSION~~ |
symantec/synamtec-liveupdate-administrator-2-3-howto-changing-replace-ssl-certificate.1495214753.txt.gz · Последнее изменение: 19.05.2017 20:25 — Алексей Максимов