Stappen voor het inschakelen van SSL

Stap 1: Definieer de SSL-poort

• Meld aan bij ADAudit Plus met een account die beheerdersmachtigingen heeft.
• Navigeer naar Beheer → Algemene instellingen → Verbinding.
• Schakel het selectievakje SSL-poort inschakelen [https] in. Het standaard poortnummer 8444 wordt automatisch geselecteerd.
• Klik op Wijzigingen opslaan.
• Start ADAudit Plus opnieuw om de wijzigingen door te voeren.

Opmerking: Als u een bestaand PFX- of PKCS #12-certificaat wilt installeren, gaat u verder naar de sectie PFX- of PKCS #12-formaat in Stap 5.

Stap 2: Mak de keystore

Een keystore is een bestand dat door een wachtwoord is beveiligd en alle sleutels bevat die de server zal gebruiken voor SSL-transacties.

• Om een certificaat-keystore-bestand te maken en codeersleutels te genereren, voert u Opdrachtprompt uit als een beheerder, gaat u naar <product_installation_directory>\jre\bin en voert u de volgende opdracht uit:

  keytool -genkey -alias tomcat -keyalg RSA -validity 1000 -keystore <domainName>.keystore

  Vervang <domainName> door de naam van uw domein.

• Voer uw keystore-wachtwoord in.
• Geef informatie op basis van de volgende richtlijnen op:

  Wat is uw voornaam en achternaam?	Geef de machinenaam of de volledig gekwalificeerde domeinnaam van de server op die als host optreedt voor ADAudit Plus.
  Wat is de naam van uw organisatie-eenheid?	Voer de afdelingsnaam in die u op het certificaat wilt weergeven.
  Wat is de naam van uw organisatie?	Geef de juridische naam van uw organisatie.
  Wat is de naam van uw stad of plaats?	Voer de plaatsnaam in zoals opgegeven in het geregistreerde adres van uw organisatie.
  Wat is de naam van uw staat of provincie?	Voer de staat of provincie in, zoals opgegeven in het geregistreerde adres van uw organisatie.
  Wat is de landcode van twee letters voor deze eenheid?	Geef de code van twee letters op van het land waarin uw organisatie is gevestigd.
  Voer het sleutelwachtwoord in voor <tomcat>	Voer hetzelfde wachtwoord in als het keystore-wachtwoord. Opmerking: Als u ervoor kiest een ander wachtwoord op te geven, noteert u dit omdat het sleutelwachtwoord later zal worden vereist.

Stap 3: Genereer de aanvraag voor certificaatondertekening (CSR = Certificate Signing Request)

Om een CSR met een alternatieve naam voor onderwerp (SAN) te maken, voert u de volgende opdracht ui in Opdrachtprompt:

vervang <domainName> door de naam van uw domein en geef de geschikte SAN's op zoals weergegeven in de onderstaande afbeelding:

Stap 4: Verstrek het SSL-certificaat

In deze stap maakt u verbinding met een certificeringsinstantie (CA), verzendt u de CSR naar de specifieke CA en krijgt u het SSL-certificaat dat aan u wordt verstrekt.

A. Het SSL-certificaat verstrekken via een externe CA

• Om een certificaat aan te vragen van een externe CA, verzendt u de CSR naar die CA. U kunt het CSR-bestand vinden in de map <product_installation_directory>\jre\bin.
• Pak de certificaten uit die door uw CA zijn teruggestuurd en plaats ze in de map <product_installation_directory>\jre\bin.

Opmerking: Nadat het SSL-certificaat is verstrekt door de externe CA, gaat u verder naar Stap 5 om het certificaat te installeren.

B. Het SSL-certificaat verstrekken via een interne CA

Een interne CA is een lidserver of domeincontroller in een specifiek domein waaraan de CA-rol werd toegewezen.

• Maak verbinding met de Microsoft Active Directory Certificate Services van uw interne CA en klik op de koppeling Een certificaat aanvragen.
• Klik op de pagina Een certificaat aanvragen op de koppeling geavanceerde certificaataanvraag.
• Ga naar de pagina Een certificaataanvraag of vernieuwingsaanvraag indienen en kopieer de inhoud van uw CSR-bestand en plak het in het veld Opgeslagen aanvraag.
• Selecteer Webserver of de geschikte sjabloon voor Tomcat onder Certificaatsjabloon en klik op Verzenden.
• Het certificaat zal worden verstrekt wanneer u klikt op de koppeling Certificeringspad downloaden. Het gedownloade certificaat zal in de P7B-bestandsindeling zijn.
• Kopieer het P7B-bestand naar de map <product_installation_directory>\jre\bin.

Stap 5: Het certificaat importeren

Volg de onderstaande stappen die overeenkomen met de indeling waarin u het certificaat wilt importeren.

A. E-mail in PEM-indeling (Privacy-enhanced mail)

Om het certificaat in het keystore-bestand te importeren in PEM-indeling, opent u de Opdrachtprompt. Navigeer naar <product_installation_directory>\jre\bin en voer de opdrachten die van toepassing zijn op uw CA uit vanaf de onderstaande lijst.

Algemene opdrachten

• keytool -importcert -alias root -file <root.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
• keytool -importcert -alias intermediate -file <intermediate.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
• keytool -importcert -alias intermediat2 -file <intermediat2.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts
• keytool -importcert -alias tomcat -file <server.cert.pem> -keystore <your.domain.com>.keystore -trustcacerts

Leveranciersspecifieke opdrachten

Voor GoDaddy-certificaten

• keytool -import -alias root -keystore <domainName>.keystore -trustcacerts -file gd_bundle.crt
• keytool -import -alias cross -keystore <domainName>.keystore -trustcacerts -file gd_cross.crt
• keytool -import -alias intermed -keystore <domainName>.keystore -trustcacerts -file gd_intermed.crt
• keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.crt

Voor Verisign-certificaten

• keytool -import -alias intermediateCA -keystore <domainName>.keystore -trustcacerts -file <your intermediate certificate.cer>
• keytool -import -alias tomcat -keystore <domainName>.keystore -trustcacerts -file <domainName>.cer

Voor Comodo-certificaten

• keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <domainName>.keystore
• keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt -keystore <domainName>.keystore
• keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt -keystore <domainName>.keystore
• keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <domainName>.keystore

Voor Entrust-certificaten

• keytool -import -alias Entrust_L1C -keystore <keystore-name.keystore> -trustcacerts -file entrust_root.cer
• keytool -import -alias Entrust_2048_chain -keystore <keystore-name.keystore> - trustcacerts -file entrust_2048_ssl.cer
• keytool -import -alias -keystore <keystore-name.keystore> -trustcacerts -file <domainName.cer>

Voor certificaten aangeschaft via het Thawte-wederverkoperskanaal

• keytool -import -trustcacerts -alias thawteca -file <SSL_PrimaryCA.cer> -keystore <keystore-name.keystore>
• keytool -import -trustcacerts -alias thawtecasec -file <SSL_SecondaryCA.cer> - keystore <keystore-name.keystore>
• keytool -import -trustcacerts -alias tomcat -file <certificate-name.cer> -keystore <keystore-name.keystore>

Opmerking: Als u de certificaten ontvangt van een CA die niet in de bovenstaande lijst is vermeld, neemt u contact op met uw CA om de opdrachten te krijgen die vereist zijn voor het toevoegen van de certificaten ervan aan de keystore.

B. P7B- of PKCS #7-indeling

Om het certificaat te importeren in het keystore-bestand in P7B- of PKCS #7-opmaak, opent u Opdrachtprompt, navigeert u naar <product_installation_directory>\jre\bin en voert u de volgende opdracht uit:

C. PFS- of PKCS #12-indeling

• Kopieer en sla uw PFX- of PKCS #12-bestand op in de map <product_installation_directory>\conf.
• Open het bestand server.xml in de map <product_installation_directory>\conf met een lokale tekstbewerker. Maak een back-up van het bestaande bestand server.xml voor het geval u het wilt terugzetten.
• Navigeer naar het einde van het bestand server.xml en zoek de connector-tags die<Connector ... SSLEnabled="true"/> bevatten.
• Bewerk de volgende waarden (die hoofdlettergevoelig zijn) binnen de connector-tags zonder andere waarden te wijzigen.
  keystoreFile="./conf/<YOUR_CERT_FILE.pfx>"
  keystorePass="<YOUR_PASSWORD>"
  keystoreType="PKCS12"

  Bijvoorbeeld: <Connector name="SSL" port="8449" minSpareThreads="25" maxThreads="150" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" debug="0" connectionTimeout="20000" acceptCount="100" URIEncoding="UTF-8" sslProtocol="TLS" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" secure="true" scheme="https" keystorePass="<YOUR_PASSWORD>" keystoreFile="./conf/<YOUR_CERT_FILE.pfx>" keystoreType="PKCS12" clientAuth="false" ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA" SSLEnabled="true"/>

• Start ADAudit Plus opnieuw.

Opmerking: Na het installeren van het PFX- of PKCS #12-certificaatbestand en het opnieuw opstarten van ADAudit Plus, kunt u Stap 6 overslaan.

Stap 6: Bind de certificaten met ADAudit Plus

• Kopieer het <domainName>.keystore-bestand van de map <product_installation_directory>\jre\bin en plak in het in de map <product_installation_directory>\conf.
• Open het bestand server.xml in de map <product_installation_directory>\conf met een lokale tekstbewerker. Maak een back-up van het bestaande bestand server.xml voor het geval u het wilt terugzetten.
• Navigeer naar het einde van het bestand server.xml en zoek de connector-tags die<Connector ... SSLEnabled="true"/> bevatten.
• Wijzig de volgende waarden (die hoofdlettergevoelig zijn) binnen de connector-tags.
  • Vervang de waarde van keystoreFile met "./conf/<domainName>.keystore"".
  • Vervang de waarde van keystorePass door het keystore-wachtwoord dat u hebt gebruikt tijdens het genereren van de CSR voor dit certificaatbestand.

    Opmerking: Als u de TLS-versies en het cijferkenmerk wilt wijzigen, raadpleegt u onze Beveiligingshandleiding.

  • Sla het bestand server.xml op en sluit het.
  • Start ADAudit Plus opnieuw om de wijzigingen door te voeren.