Пошаговые руководства, шпаргалки, полезные ссылки...
БлогФорумАвторы
Полезные Online-сервисы
Перечень Бесплатного ПО
Подписка на RSS-канал
Это старая версия документа!
Одной из задач, которая может возникнуть перед администратором Symantec LiveUpdate Administrator (LUA), является замена автоматически сгенерированного в процессе установки само-подписанного цифрового SSL-сертификата, который используется для защиты соединения веб-сервером Tomcat из состава LUA. Чтобы выполнить данную задачу, за основу возьмём последовательность действий, описанную в посте LiveUpdate Administrator – HOWTO changing the SSL Certificate
Первый делом получаем из доверенного Центра Сертификации (ЦС) сертификат в формате PKCS #12 [.PFX], содержащий все желаемые имена для нашего веб-сервера LUA. В моём случае используется SAN-сертификат, полученный от ЦС на базе Windows Server. Сертификат был запрошен непосредственно с сервера LUA (через оснастку управления сертификатами в mmc.exe). При формировании запроса сертификата нужно учесть ряд параметров:
После того, ка сертификат получен от ЦС и установлен на сервер, через оснастку управления сертификатами в mmc.exe выполняем экспорт этого сертификата в паре с закрытым ключом в защищённый паролем PFX-файл.
Замена файла Java keystore
Воспользуемся документом https://support.symantec.com/en_US/article.TECH227252.html The LUA Tomcat server uses a Java keystore (JKS) file to securely house its public and private key pair. To replace this file, create a new JKS file to house your public and private key pair. Name your JKS file server-cert.ssl and copy it to the LUA installation folder (C:\Program Files (x86)\Symantec\LiveUpdate Administrator\ by default). Нужно удалить используемый JKS-файл server-cert.ssl, предварительно сохранив его копию на всякий случай
Открываем с правами Администратор командную строку и переходим в каталог <Installation Directory of LUA>\
cd /d C:\Program Files (x86)\Symantec\LiveUpdate Administrator
Делаем резервную копию JKS-файла и затем удаляем его:
copy server-cert.ssl server-cert.ssl.orig del server-cert.ssl
Переходим в каталог <Installation Directory of LUA>\jre\bin
cd /d C:\Program Files (x86)\Symantec\LiveUpdate Administrator\jre\bin
Конвертируем PFX в новый JKS-файл хранилища сертификатов (будет сгенерирован новый файл server-cert.ssl), указав пароль от PFX-файла (в нашем примере pfxP@ssw0rd) и задав собственный пароль для создаваемого JKS-хранилища (в нашем примере LuAjKsPazsW0rd):
keytool.exe -importkeystore -srckeystore «C:\Temp\cert.pfx» -destkeystore «C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl» -srcstoretype PKCS12 -deststoretype JKS -srcstorepass pfxP@ssw0rd -deststorepass LuAjKsPazsW0rd
В процессе генерации будет выведено соообщение типа:
Entry for alias le-7e56697b-1b56-485c-88de-1b05f8c49374 successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
Поменяем алиас имортированного сертификата с сгенерированного значения (в нашем примере le-7e56697b-1b56-485c-88de-1b05f8c49374) на значение «lua»
keytool.exe -changealias -alias le-7e56697b-1b56-485c-88de-1b05f8c49374 -destalias lua -keypass pfxP@ssw0rd -storepass LuAjKsPazsW0rd -keystore «C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl»
Чтобы проверить список сертификатов имеющихся в JKS-хранилище можно выполнить команду:
keytool.exe -list -v -keystore «C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl» -storepass LuAjKsPazsW0rd
Дополнительно устанавливаем пароль на доступ к ключу в JKS-хранилище таким же, как установлен пароль на доступ к самому хранилищу:
keytool.exe -keypasswd -alias lua -keypass P@ssw0rd -new LuAjKsPazsW0rd -storepass LuAjKsPazsW0rd -keystore «C:\Program Files (x86)\Symantec\LiveUpdate Administrator\server-cert.ssl»
Не забываем удалить PFX-файл
del «C:\Temp\cert.pfx»
Правка catalina.properties
Найдём файл «C:\Program Files (x86)\Symantec\LiveUpdate Administrator\tomcat\conf\catalina.properties» Откроем этот файл в текстовом редакторе и закомментируем строку: org.apache.tomcat.util.digester.PROPERTY_SOURCE=com.symantec.lua.SSLPasswordDecrypt (постаим символ # в начале строки). Аналогичным образом закомментируем строку со старым параметром ks.password Добавим новую строку, в которой в параметре ks.password укажем пароль на доступ к JKS-хранилищу В конечном итоге конец файла catalina.properties примет примерно следующий вид:
ks.password=LuAjKsPazsW0rd # ks.password=YqnftEU2J5Og5oF98l6hGQ== # org.apache.tomcat.util.digester.PROPERTY_SOURCE=com.symantec.lua.SSLPasswordDecrypt
Перезапуск LUA
Чтобы веб-сервер LUA подхватил наше новое JKS-хранилище, перезагружаем службу LUA Apache Tomcat:
net stop LUATomcat & net start LUATomcat
Служба может останавливаться длительное время. Кроме того, после запуска службы веб-консоль сервера LUA может быть недоступна длительно время (до тех пор пока не закончится инициализация веб-приложения).
В свойствах ярлыка для запуска LiveUpdate Administrator есть ссылка на файл «C:\Program Files (x86)\Symantec\LiveUpdate Administrator\LiveUpdate Administrator.bat» Поменяем в этом файле ссылку на start https://KOM-AD01-LUA01.holding.com:7073/lua
запускаем ярлык и проверяем результат.
Автор первичной редакции: Алексей Максимов Время публикации: 19.05.2017 20:20