HTTPS inschakelen op Linux-servers

Deze procedure bevat de stappen voor het inschakelen van HTTPS op Red Hat Enterprise Linux. Er zijn mogelijk kleine verschillen met andere Linuxdistributies.
Om HTTPS in te schakelen, heeft u een digitaal certificaat nodig. U kunt gebruikmaken van een certificaat dat door een certificeringsinstantie (CI) is ondertekend, of van een zelfondertekend certificaat.
    Belangrijk:
  • Voor deze procedure wordt de Java Keytool-opdracht gebruikt. Voor meer informatie over het gebruik van Keytool, zie de Java-documentatie of de documentatie die u van de certificeringsinstantie heeft gekregen.
  • Maak van de volgende bestanden een kopie en sla deze op een veilige locatie op voor het geval u de bestanden in de toekomst moet herstellen:
    • /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
    • /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
    • /opt/RICOH/DataCollector/config.json
  1. Verkrijg het digitale certificaat en sla het op op de computer waarop RICOH Supervisor Data Collector is geïnstalleerd.
    • Een certificaat gebruiken dat door een certificeringsinstantie is ondertekend:
      1. Volg de instructies van de certificeringsinstantie voor het verkrijgen van een ondertekend certificaat en het importeren ervan in een KeyStore-bestand.
      2. Kopieer het KeyStore-bestand op de computer waarop RICOH Supervisor Data Collector is geïnstalleerd. Zorg ervoor dat u weet wat het wachtwoord voor het KeyStore-bestand is.
      3. Open als hoofdgebruiker een terminalvenster.
      4. Ga naar de map met de Java Keytool:
        cd /opt/RICOH/DataCollector/jre/bin
      5. Importeer het KeyStore-bestand in de opslag met door Java vertrouwde certificaten die door RICOH Supervisor Data Collector wordt gebruikt:
        keytool -importkeystore -srckeystore "keystore_path" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit

        Vervang keystore_path door het pad naar uw KeyStore-bestand. Laat de aanhalingstekens staan.

        Vervang keystore_password door het wachtwoord van uw KeyStore-bestand.

    • Een zelfondertekend certificaat aanmaken:
      1. Open als hoofdgebruiker een terminalvenster op de computer waarop RICOH Supervisor Data Collector is geïnstalleerd.
      2. Ga naar de map met de Java Keytool:
        cd /opt/RICOH/DataCollector/jre/bin
      3. Genereer een lokaal KeyStore-bestand en een zelfondertekend certificaat:
        keytool -genkey -keyalg RSA -alias ricohsupervisor -keypass keystore_password -keystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -storepass keystore_password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Vervang keystore_password door het wachtwoord dat u wilt instellen voor het KeyStore-bestand.

        Vervang certificate_validity door het aantal dagen dat het certificaat geldig moet zijn. Voer bijvoorbeeld 90 in als dat 90 dagen moet zijn.

      4. Importeer het gegenereerde KeyStore-bestand in de opslag met door Java vertrouwde certificaten die door RICOH Supervisor Data Collector wordt gebruikt:
        keytool -importkeystore -srckeystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit

        Vervang keystore_password door het wachtwoord dat u heeft ingesteld voor het KeyStore-bestand.

  2. Stop de RICOH Supervisor Data Collector-service:
    sudo systemctl stop RicohSupervisorDataCollector
  3. HTTPS inschakelen:
    1. Ga naar /opt/RICOH/DataCollector/apache-tomcat/conf en bewerk het bestand server.xml als hoofdgebruiker:
      sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
    2. Zoek de volgende code:
      <!--
      <Connector executor="tomcatThreadPool"
       	port="19280"  URIEncoding="UTF-8" protocol="HTTP/1.1"
      	connectionTimeout="20000"
       	redirectPort="8443" />
      -->
    3. Voeg daaronder de volgende code in:
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
      	port="8443" maxThreads="200" scheme="https" secure="true" 
      	SSLEnabled="true" keystoreFile="keystore_path"
      	keystorePass="keystore_password" clientAuth="false" 
      	sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
    4. Vervang keystore_path door het pad naar uw KeyStore-bestand. Laat de aanhalingstekens staan.
      Als u een zelfondertekend certificaat heeft gegenereerd, gebruikt u "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks".
    5. Vervang keystore_password door het wachtwoord van uw KeyStore-bestand. Laat de aanhalingstekens staan.
    6. Sla het bestand op en sluit het.
  4. Stuur HTTP-aanvragen door naar HTTPS:
    1. Ga naar /opt/RICOH/DataCollector/apache-tomcat/conf en bewerk het bestand web.xml als hoofdgebruiker:
      sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
    2. Ga naar de laatste regel in het bestand, </web-app>.
    3. Voeg vlak voor de laatste regel de volgende code in:
      <security-constraint>
      	<web-resource-collection>
      		<web-resource-name>Entire Application</web-resource-name>
      		<url-pattern>/*</url-pattern>
      	</web-resource-collection>
      	<!-- auth-constraint goes here if you require authentication -->
      	<user-data-constraint>
      		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
      	</user-data-constraint>
      </security-constraint>
    4. Sla het bestand op en sluit het.
  5. Wijzig het adres van de interne server:
    1. Ga naar /opt/RICOH/DataCollector en bewerk het bestand config.json als hoofdgebruiker:
      sudo gedit /opt/RICOH/DataCollector/config.json
    2. Vervang de regel "webAddress": "http://localhost:19280", door "webAddress": "https://localhost:8443",.
    3. Sla het bestand op en sluit het.
  6. Start de RICOH Supervisor Data Collector-service:
    sudo systemctl start RicohSupervisorDataCollector
  7. Controleer of aanvragen worden doorgestuurd naar de beveiligde verbinding:
    1. Open een venster van een ondersteunde webbrowser.
    2. Voer deze URL in de adresbalk in.

      http://server_address:port_number/DataCollector

      waarbij server_address de hostnaam of het IP-adres is van de computer waarop RICOH Supervisor Data Collector is geïnstalleerd en port_number de webserverpoort.

      Bij het laden van de pagina zou het adres moeten veranderen in https://server_address:port_number/DataCollector.

Wanneer gebruikers het systeem openen, worden ze naar het beveiligde protocol doorgestuurd zonder dat ze hiervoor zelf iets hoeven doen. Als u echter een zelfondertekend certificaat gebruikt of als het certificaat niet specifiek aan de server is gebonden, verschijnt er in de webbrowser een waarschuwing dat het certificaat niet wordt vertrouwd.

Zorg ervoor dat u de procedure voor het inschakelen van HTTPS telkens herhaalt wanneer het certificaat op het punt staat te verlopen. U moet deze procedure ook telkens herhalen wanneer u het installatieproces uitvoert om RICOH Supervisor Data Collector opnieuw te installeren, te upgraden of te herstellen.

Als u HTTPS niet meer wilt inschakelen nadat u RICOH Supervisor Data Collector heeft hersteld, moet u het adres van de interne server weer wijzigen in HTTP:

  1. Ga naar /opt/RICOH/DataCollector en bewerk het bestand config.json als hoofdgebruiker:
    sudo gedit /opt/RICOH/DataCollector/config.json
  2. Vervang de regel "webAddress": "https://localhost:8443", door "webAddress": "http://localhost:19280",.
  3. Sla het bestand op en sluit het.
  4. Start de RICOH Supervisor Data Collector-service opnieuw: