Habilitando HTTPS en servidores Linux

Este procedimiento proporciona los pasos para habilitar HTTPS en Red Hat Enterprise Linux. Puede haber ligeras diferencias en otras distribuciones de Linux.
Para habilitar HTTPS, necesita un certificado digital. Puede utilizar un certificado firmado por una entidad de certificación o un certificado autofirmado.
    Importante:
  • Este procedimiento utiliza el comando Java keytool. Para más información sobre cómo usar keytool, consulte la documentación de Java o la documentación suministrada por la entidad de certificación.
  • Guarde copias de estos archivos en un lugar seguro, por si necesita restaurarlos en el futuro:
    • /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
    • /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
    • /opt/RICOH/DataCollector/config.json
  1. Obtenga el certificado digital y almacénelo en el equipo en que esté instalado RICOH Supervisor Data Collector.
    • Para utilizar un certificado firmado por una entidad de certificación:
      1. Siga las instrucciones proporcionadas por la entidad de certificación para obtener un certificado firmado e importarlo a un archivo de depósito de claves.
      2. Copie el archivo de depósito de claves en el equipo en que esté instalado RICOH Supervisor Data Collector. Asegúrese que conoce la contraseña del archivo de depósito de claves.
      3. Abra una ventana de terminal como usuario root.
      4. Acceda a la carpeta que contiene el keytool de Java: 
        cd /opt/RICOH/DataCollector/jre/bin
      5. Importe el archivo de depósito de claves en el almacén de certificados de confianza de Java utilizado por RICOH Supervisor Data Collector: 
        keytool -importkeystore -srckeystore "keystore_path" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit

        Sustituya keystore_path por la vía de acceso al archivo de depósito de claves. Deje las comillas.

        Sustituya keystore_password por la contraseña del archivo de depósito de claves.

    • Para crear un certificado autofirmado:
      1. En el equipo donde está instalado RICOH Supervisor Data Collector, abra una venta de terminal como usuario root.
      2. Acceda a la carpeta que contiene el keytool de Java: 
        cd /opt/RICOH/DataCollector/jre/bin
      3. Genere un archivo de depósito de claves local y un certificado autofirmado: 
        keytool -genkey -keyalg RSA -alias ricohsupervisor -keypass keystore_password -keystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -storepass keystore_password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Sustituya keystore_password por la contraseña que quiere establecer para el archivo de depósito de claves.

        Sustituya certificate_validity por el número de días de validez del certificado. Por ejemplo, escriba 90 para 90 días.

      4. Importe el archivo de depósito de claves generado en el almacén de certificados de confianza de Java utilizado por RICOH Supervisor Data Collector: 
        keytool -importkeystore -srckeystore "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks" -destkeystore "/opt/RICOH/DataCollector/jre/lib/security/cacerts" -srcstorepass keystore_password -deststorepass changeit

        Sustituya keystore_password por la contraseña que ha establecido para el archivo de depósito de claves.

  2. Detenga el servicio de RICOH Supervisor Data Collector:
    sudo systemctl stop SupervisorWeb
  3. Habilite HTTPS:
    1. Acceda a /opt/RICOH/DataCollector/apache-tomcat/conf y edite el archivo server.xml como usuario root:
      sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/server.xml
    2. Busque este código:
      <!--
<Connector executor="tomcatThreadPool"
 	port="19280"  URIEncoding="UTF-8" protocol="HTTP/1.1"
	connectionTimeout="20000"
 	redirectPort="8443" />
-->
    3. Introduzca este código a continuación:
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
	port="8443" maxThreads="200" scheme="https" secure="true" 
	SSLEnabled="true" keystoreFile="keystore_path" 
	keystorePass="keystore_password" clientAuth="false" 
	sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
    4. Sustituya keystore_path por la vía de acceso al archivo de depósito de claves. Deje las comillas.
      Si ha generado un certificado autofirmado, utilice "/opt/RICOH/DataCollector/ricohsupervisor-localkeystore.jks".
    5. Sustituya keystore_password por la contraseña del archivo de depósito de claves. Deje las comillas.
    6. Guarde y cierre el archivo.
  4. Redirija las solicitudes HTTPS a HTTPS:
    1. Acceda a /opt/RICOH/DataCollector/apache-tomcat/conf y edite el archivo web.xml como usuario root:
      sudo gedit /opt/RICOH/DataCollector/apache-tomcat/conf/web.xml
    2. Vaya hasta la última línea del archivo, </web-app>.
    3. Introduzca este código justo antes de la última línea:
      <security-constraint>
	<web-resource-collection>
		<web-resource-name>Entire Application</web-resource-name>
		<url-pattern>/*</url-pattern>
	</web-resource-collection>
	<!-- auth-constraint goes here if you require authentication -->
	<user-data-constraint>
		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
	</user-data-constraint>
</security-constraint>
    4. Guarde y cierre el archivo.
  5. Cambie la dirección del servidor interno:
    1. Acceda a /opt/RICOH/DataCollector y edite el archivo config.json como usuario root:
      sudo gedit /opt/RICOH/DataCollector/config.json
    2. Sustituya la línea "webAddress": "http://localhost:19280", por "webAddress": "https://localhost:8443",.
    3. Guarde y cierre el archivo.
  6. Inicie el servicio de RICOH Supervisor Data Collector:
    sudo systemctl start SupervisorWeb
  7. Verifique que las solicitudes se envíen a la conexión segura:
    1. Abra una ventana del navegador web compatible.
    2. Introduzca la siguiente URL en la barra de direcciones:

      http://server_address:port_number/DataCollector

      donde server_address es el nombre de host o la dirección IP del equipo en el que está instalado RICOH Supervisor Data Collector y port_number es el puerto del servidor web.

      Cuando se cargue la página, la dirección debería cambiar a https://server_address:port_number/DataCollector.

Cuando los usuarios acceden al sistema, se redireccionan al protocolo seguro sin tener que realizar ninguna acción. Sin embargo, si utiliza un certificado autofirmado o si el certificado no está asociado de forma específica al servidor, el navegador web emite un aviso de que el certificado no es fiable.

Asegúrese de repetir el procedimiento para habilitar HTTPS siempre que el certificado esté a punto de caducar. También debe repetir este procedimiento siempre que ejecute el proceso de instalación para volver a instalar, actualizar o reparar RICOH Supervisor Data Collector.

Tras reparar RICOH Supervisor Data Collector, si ya no quiere habilitar HTTPS, debe volver a modificar la dirección del servidor interno a HTTP:

  1. Acceda a /opt/RICOH/DataCollector y edite el archivo config.json como usuario root: 
    sudo gedit /opt/RICOH/DataCollector/config.json
  2. Sustituya la línea "webAddress": "http://localhost:8443", por "webAddress": "https://localhost:19280",.
  3. Guarde y cierre el archivo.
  4. Reinicie el servicio RICOH Supervisor Data Collector.

Tema principal: Habilitando HTTPS para RICOH Supervisor Data Collector