HTTPS auf Linux-Servern aktivieren
- Wichtig:
- Dieses Verfahren verwendet den Java-Befehl
keytool
. Ausführliche Informationen zur Verwendung vonkeytool
finden Sie in der Java-Dokumentation oder in der Dokumentation, die die Zertifizierungsstelle bereitstellt. - Speichern Sie Kopien dieser Dateien an einem sicheren Ort, falls Sie sie in Zukunft
wiederherstellen müssen:
/opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
/opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
/opt/RICOH/DataCollector/config.json
- Rufen Sie das digitale Zertifikat ab und speichern Sie es auf dem Computer, auf dem
RICOH Supervisor Data Collector installiert ist.
- So verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle signiert wurde:
- Befolgen Sie die Anweisungen, die von der Zertifizierungsstelle bereitgestellt werden, um ein signiertes Zertifikat abzurufen und es in eine Schlüsselspeicherdatei zu importieren.
- Kopieren Sie die Schlüsselspeicherdatei auf den Computer, auf dem RICOH Supervisor Data Collector installiert ist. Stellen Sie sicher, dass Sie das Kennwort für die Schlüsselspeicherdatei kennen.
- Öffnen Sie ein Terminal-Fenster als Stammbenutzer.
- Rufen Sie den Ordner auf, der das Java-keytool enthält:
cd /opt/RICOH/DataCollector/jre/bin
- Importieren Sie die Schlüsselspeicherdatei in den vertrauenswürdigen Java-Zertifikatspeicher,
der von RICOH Supervisor Data Collector verwendet wird:
keytool -importkeystore -srckeystore "keystore_path" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit
.Ersetzen Sie keystore_path durch den Pfad zu Ihrer Schlüsselspeicherdatei. Belassen Sie die Anführungszeichen.
Ersetzen Sie keystore_password durch das Kennwort für Ihre Schlüsselspeicherdatei.
- So erstellen Sie ein selbstsigniertes Zertifikat:
- Öffnen Sie auf dem Computer, auf dem RICOH Supervisor Data Collector installiert ist, ein Terminalfenster als Stammbenutzer.
- Rufen Sie den Ordner auf, der das Java-keytool enthält:
cd /opt/RICOH/DataCollector/jre/bin
- Generieren Sie eine lokale Schlüsselspeicherdatei und ein selbstsigniertes Zertifikat:
keytool -genkey -keyalg RSA -alias ricohsupervisor -keypass keystore_password -keystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -storepass keystore_password -validity certificate_validity -keysize 2048 -ext san=dns:localhost
Ersetzen Sie keystore_password durch das Kennwort, das Sie für Ihre Schlüsselspeicherdatei festlegen möchten.
Ersetzen Sie certificate_validity durch die Anzahl der Gültigkeitstage für das Zertifikat. Geben Sie zum Beispiel für 90 Tage
90
ein. - Importieren Sie die generierte Schlüsselspeicherdatei in den vertrauenswürdigen Java-Zertifikatspeicher,
der von RICOH Supervisor Data Collector verwendet wird:
keytool -importkeystore -srckeystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit
.Ersetzen Sie keystore_password durch das Kennwort, das Sie für die Schlüsselspeicherdatei festgelegt haben.
- So verwenden Sie ein Zertifikat, das von einer Zertifizierungsstelle signiert wurde:
- Halten Sie den RICOH Supervisor Data Collector-Dienst an:
sudo systemctl stop RicohSupervisorDataCollector
- Aktivieren Sie HTTPS:
- Rufen Sie
/opt/RICOH/DataCollector/apache-tomcat/conf
auf und bearbeiten Sie die Dateiserver.xml
als Stammbenutzer:sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
- Suchen Sie nach diesem Code:
<!-- <Connector executor="tomcatThreadPool" port="19280" URIEncoding="UTF-8" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> -->
- Fügen Sie diesen Code darunter ein:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="keystore_path" keystorePass="keystore_password" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
- Ersetzen Sie keystore_path durch den Pfad zu Ihrer Schlüsselspeicherdatei. Belassen Sie die Anführungszeichen.Wenn Sie ein selbstsigniertes Zertifikat generiert haben, verwenden Sie
"/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks"
. - Ersetzen Sie keystore_password durch das Kennwort für Ihre Schlüsselspeicherdatei. Belassen Sie die Anführungszeichen.
- Speichern und schließen Sie die Datei.
- Rufen Sie
- Leiten Sie HTTP-Anfragen an HTTPS weiter:
- Rufen Sie
/opt/RICOH/DataCollector/apache-tomcat/conf
auf und bearbeiten Sie die Dateiweb.xml
als Stammbenutzer:sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
- Rufen Sie die letzte Zeile in der Datei auf,
</web-app>
. - Fügen Sie diesen Code unmittelbar vor der letzten Zeile ein:
<security-constraint> <web-resource-collection> <web-resource-name>Entire Application</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <!-- auth-constraint goes here if you require authentication --> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
- Speichern und schließen Sie die Datei.
- Rufen Sie
- Ändern Sie die interne Serveradresse:
- Rufen Sie
/opt/RICOH/DataCollector
auf und bearbeiten Sie die Dateiconfig.json
als Stammbenutzer:sudo gedit /opt/RICOH/DataCollector/config.json
- Ersetzen Sie die Zeile
"webAddress": "http://localhost:19280",
durch"webAddress": "https://localhost:8443",
. - Speichern und schließen Sie die Datei.
- Rufen Sie
- Starten Sie den RICOH Supervisor Data Collector-Dienst:
sudo systemctl start RicohSupervisorDataCollector
- Prüfen Sie, dass die Anfragen an die sichere Verbindung weitergeleitet werden:
- Öffnen Sie das Fenster eines unterstützten Webbrowsers.
- Geben Sie diese URL in die Adressleiste ein.
http://server_address:port_number/DataCollector
wobei server_address der Hostname oder die IP-Adresse des Computers ist, auf dem RICOH Supervisor Data Collector installiert ist, und port_number der Web-Server-Port.
Wenn die Seite geladen wird, sollte die Adresse zu
https://server_address:port_number/DataCollector
geändert werden.
Wenn Benutzer auf das System zugreifen, werden sie zu dem sicheren Protokoll umgeleitet, ohne dass sie selbst eine Aktion ausführen müssen. Wenn Sie jedoch ein selbstsigniertes Zertifikat verwenden oder das Zertifikat nicht speziell an den Server gebunden ist, gibt der Webbrowser eine Warnung aus, dass dem Zertifikat nicht vertraut wird.
Stellen Sie sicher, dass Sie den Vorgang zum Aktivieren von HTTPS wiederholen, wenn das Zertifikat bald abläuft. Sie müssen dieses Verfahren auch jedes Mal wiederholen, wenn Sie den Installationsvorgang ausführen, um RICOH Supervisor Data Collector erneut zu installieren, zu aktualisieren oder zu reparieren.
Nachdem Sie RICOH Supervisor Data Collector repariert haben und HTTPS nicht mehr aktivieren möchten, müssen Sie die interne Serveradresse wieder zu HTTP ändern:
- Rufen Sie
/opt/RICOH/DataCollector
auf und bearbeiten Sie die Dateiconfig.json
als Stammbenutzer:sudo gedit /opt/RICOH/DataCollector/config.json
- Ersetzen Sie die Zeile
"webAddress": "https://localhost:8443",
durch"webAddress": "http://localhost:19280",
. - Speichern und schließen Sie die Datei.
- Starten Sie den RICOH Supervisor Data Collector-Dienst neu.