Habilitando HTTPS en servidores Linux
- Importante:
- Este procedimiento utiliza el comando Java
keytool
. Para más información sobre cómo usarkeytool
, consulte la documentación de Java o la documentación suministrada por la entidad de certificación. - Guarde copias de estos archivos en un lugar seguro, por si necesita restaurarlos en
el futuro:
/opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
/opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
/opt/RICOH/DataCollector/config.json
- Obtenga el certificado digital y almacénelo en el equipo en que esté instalado RICOH Supervisor Data Collector.
- Para utilizar un certificado firmado por una entidad de certificación:
- Siga las instrucciones proporcionadas por la entidad de certificación para obtener un certificado firmado e importarlo a un archivo de depósito de claves.
- Copie el archivo de depósito de claves en el equipo en que esté instalado RICOH Supervisor Data Collector. Asegúrese que conoce la contraseña del archivo de depósito de claves.
- Abra una ventana de terminal como usuario root.
- Acceda a la carpeta que contiene el keytool de Java:
cd /opt/RICOH/DataCollector/jre/bin
- Importe el archivo de depósito de claves en el almacén de certificados de confianza
de Java utilizado por RICOH Supervisor Data Collector:
keytool -importkeystore -srckeystore "keystore_path" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit
Sustituya keystore_path por la vía de acceso al archivo de depósito de claves. Deje las comillas.
Sustituya keystore_password por la contraseña del archivo de depósito de claves.
- Para crear un certificado autofirmado:
- En el equipo donde está instalado RICOH Supervisor Data Collector, abra una venta de terminal como usuario root.
- Acceda a la carpeta que contiene el keytool de Java:
cd /opt/RICOH/DataCollector/jre/bin
- Genere un archivo de depósito de claves local y un certificado autofirmado:
keytool -genkey -keyalg RSA -alias ricohsupervisor -keypass keystore_password -keystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -storepass keystore_password -validity certificate_validity -keysize 2048 -ext san=dns:localhost
Sustituya keystore_password por la contraseña que quiere establecer para el archivo de depósito de claves.
Sustituya certificate_validity por el número de días de validez del certificado. Por ejemplo, escriba
90
para 90 días. - Importe el archivo de depósito de claves generado en el almacén de certificados de
confianza de Java utilizado por RICOH Supervisor Data Collector:
keytool -importkeystore -srckeystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit
Sustituya keystore_password por la contraseña que ha establecido para el archivo de depósito de claves.
- Para utilizar un certificado firmado por una entidad de certificación:
- Detenga el servicio de RICOH Supervisor Data Collector:
sudo systemctl stop RicohSupervisorDataCollector
- Habilite HTTPS:
- Acceda a
/opt/RICOH/DataCollector/apache-tomcat/conf
y edite el archivoserver.xml
como usuario root:sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
- Busque este código:
<!-- <Connector executor="tomcatThreadPool" port="19280" URIEncoding="UTF-8" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> -->
- Introduzca este código a continuación:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="keystore_path" keystorePass="keystore_password" clientAuth="false" sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
- Sustituya keystore_path por la vía de acceso al archivo de depósito de claves. Deje las comillas.Si ha generado un certificado autofirmado, utilice
"/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks"
. - Sustituya keystore_password por la contraseña del archivo de depósito de claves. Deje las comillas.
- Guarde y cierre el archivo.
- Acceda a
- Redirija las solicitudes HTTPS a HTTPS:
- Acceda a
/opt/RICOH/DataCollector/apache-tomcat/conf
y edite el archivoweb.xml
como usuario root:sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
- Vaya hasta la última línea del archivo,
</web-app>
. - Introduzca este código justo antes de la última línea:
<security-constraint> <web-resource-collection> <web-resource-name>Entire Application</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <!-- auth-constraint goes here if you require authentication --> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
- Guarde y cierre el archivo.
- Acceda a
- Cambie la dirección del servidor interno:
- Acceda a
/opt/RICOH/DataCollector
y edite el archivoconfig.json
como usuario root:sudo gedit /opt/RICOH/DataCollector/config.json
- Sustituya la línea
"webAddress": "http://localhost:19280",
por"webAddress": "https://localhost:8443",
. - Guarde y cierre el archivo.
- Acceda a
- Inicie el servicio de RICOH Supervisor Data Collector:
sudo systemctl start RicohSupervisorDataCollector
- Verifique que las solicitudes se envíen a la conexión segura:
- Abra una ventana del navegador web compatible.
- Introduzca la siguiente URL en la barra de direcciones:
http://server_address:port_number/DataCollector
donde server_address es el nombre de host o la dirección IP del equipo en el que está instalado RICOH Supervisor Data Collector y port_number es el puerto del servidor web.
Cuando se cargue la página, la dirección debería cambiar a
https://server_address:port_number/DataCollector
.
Cuando los usuarios acceden al sistema, se redireccionan al protocolo seguro sin tener que realizar ninguna acción. Sin embargo, si utiliza un certificado autofirmado o si el certificado no está asociado de forma específica al servidor, el navegador web emite un aviso de que el certificado no es fiable.
Asegúrese de repetir el procedimiento para habilitar HTTPS siempre que el certificado esté a punto de caducar. También debe repetir este procedimiento siempre que ejecute el proceso de instalación para volver a instalar, actualizar o reparar RICOH Supervisor Data Collector.
Tras reparar RICOH Supervisor Data Collector, si ya no quiere habilitar HTTPS, debe volver a modificar la dirección del servidor interno a HTTP:
- Acceda a
/opt/RICOH/DataCollector
y edite el archivoconfig.json
como usuario root:sudo gedit /opt/RICOH/DataCollector/config.json
- Sustituya la línea
"webAddress": "http://localhost:8443",
por"webAddress": "https://localhost:19280",
. - Guarde y cierre el archivo.
- Reinicie el servicio RICOH Supervisor Data Collector.