HTTPS inschakelen op Windows-servers

Deze procedure bevat de stappen voor het inschakelen van HTTPS op Windows 10. Er zijn mogelijk kleine verschillen met andere versies van Windows.
Om HTTPS in te schakelen, heeft u een digitaal certificaat nodig. U kunt gebruikmaken van een certificaat dat door een certificeringsinstantie (CI) is ondertekend, of van een zelfondertekend certificaat.
    Belangrijk:
  • Voor deze procedure wordt de Java Keytool-opdracht gebruikt. Voor meer informatie over het gebruik van Keytool, zie de Java-documentatie of de documentatie die u van de certificeringsinstantie heeft gekregen.
  • Als u het standaard installatiepad heeft gewijzigd, moet u niet vergeten overal in de procedure C:\Program Files\RICOH\Supervisor\ te vervangen door het pad waar RICOH Supervisor Data Collector is geïnstalleerd.
  • Maak van de volgende bestanden een kopie en sla deze op een veilige locatie op voor het geval u de bestanden in de toekomst moet herstellen:
    • C:\Program Files\RICOH\Supervisor\apache-tomcat\conf\server.xml
    • C:\Program Files\RICOH\Supervisor\apache-tomcat\conf\web.xml
    • C:\Program Files\RICOH\Supervisor\config.json
  1. Verkrijg het digitale certificaat en sla het op op de computer waarop RICOH Supervisor Data Collector is geïnstalleerd.
    • Een certificaat gebruiken dat door een certificeringsinstantie is ondertekend:
      1. Volg de instructies van de certificeringsinstantie voor het verkrijgen van een ondertekend certificaat en het importeren ervan in een KeyStore-bestand.
      2. Kopieer het KeyStore-bestand op de computer waarop RICOH Supervisor Data Collector is geïnstalleerd. Zorg ervoor dat u weet wat het wachtwoord voor het KeyStore-bestand is.
      3. Open als beheerder een opdrachtpromptvenster.
      4. Ga naar de map met de Java Keytool: 
        cd "C:\Program Files\RICOH\Supervisor\jre\bin"
      5. Importeer het KeyStore-bestand in de opslag met door Java vertrouwde certificaten die door RICOH Supervisor Data Collector wordt gebruikt: 
        keytool -importkeystore -srckeystore "keystore_path" -destkeystore "C:\Program Files\RICOH\Supervisor\jre\lib\security\cacerts" -srcstorepass keystore_password -deststorepass changeit

        Vervang keystore_path door het pad naar uw KeyStore-bestand. Laat de aanhalingstekens staan.

        Vervang keystore_password door het wachtwoord van uw KeyStore-bestand.

    • Een zelfondertekend certificaat aanmaken:
      1. Open als beheerder een opdrachtpromptvenster op de computer waarop RICOH Supervisor Data Collector is geïnstalleerd.
      2. Ga naar de map met de Java Keytool: 
        cd "C:\Program Files\RICOH\Supervisor\jre\bin"
      3. Genereer een lokaal KeyStore-bestand en een zelfondertekend certificaat: 
        keytool -genkey -keyalg RSA -alias ricohsupervisor -keypass keystore_password -keystore "C:\Program Files\RICOH\Supervisor\ricohsupervisor-localkeystore.jks" -storepass keystore_password -validity certificate_validity -keysize 2048 -ext san=dns:localhost

        Vervang keystore_password door het wachtwoord dat u wilt instellen voor het KeyStore-bestand.

        Vervang certificate_validity door het aantal dagen dat het certificaat geldig moet zijn. Voer bijvoorbeeld 90 in als dat 90 dagen moet zijn.

      4. Importeer het gegenereerde KeyStore-bestand in de opslag met door Java vertrouwde certificaten die door RICOH Supervisor Data Collector wordt gebruikt: 
        keytool -importkeystore -srckeystore "C:\Program Files\RICOH\Supervisor\ricohsupervisor-localkeystore.jks" -destkeystore "C:\Program Files\RICOH\Supervisor\jre\lib\security\cacerts" -srcstorepass keystore_password -deststorepass changeit

        Vervang keystore_password door het wachtwoord dat u heeft ingesteld voor het KeyStore-bestand.

  2. Stop de RICOH Supervisor Data Collector-service:
    1. Ga naar Bedieningspaneel Systeembeheer en dubbelklik op Services.
    2. Klik met de rechtermuisknop in de lijst met services op RICOH Supervisor Web Server en selecteer Stoppen.
  3. HTTPS inschakelen:
    1. Ga naar C:\Program Files\RICOH\Supervisor\apache-tomcat\conf en bewerk het bestand server.xml als beheerder.
    2. Zoek de volgende code:
      <!--
<Connector executor="tomcatThreadPool"
 	port="19280"  URIEncoding="UTF-8" protocol="HTTP/1.1"
	connectionTimeout="20000"
 	redirectPort="8443" />
-->
    3. Voeg daaronder de volgende code in:
      <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" 
	port="8443" maxThreads="200" scheme="https" secure="true" 
	SSLEnabled="true" keystoreFile="keystore_path" 
	keystorePass="keystore_password" clientAuth="false" 
	sslProtocol="TLS" sslEnabledProtocols="TLSv1.2" />
    4. Vervang keystore_path door het pad naar uw KeyStore-bestand. Laat de aanhalingstekens staan.
      Als u een zelfondertekend certificaat heeft gegenereerd, gebruikt u "C:\Program Files\RICOH\Supervisor\ricohsupervisor-localkeystore.jks".
    5. Vervang keystore_password door het wachtwoord van uw KeyStore-bestand. Laat de aanhalingstekens staan.
    6. Sla het bestand op en sluit het.
  4. Stuur HTTP-aanvragen door naar HTTPS:
    1. Ga naar C:\Program Files\RICOH\Supervisor\apache-tomcat\conf en bewerk het bestand web.xml als beheerder.
    2. Ga naar de laatste regel in het bestand, </web-app>.
    3. Voeg vlak voor de laatste regel de volgende code in:
      <security-constraint>
	<web-resource-collection>
		<web-resource-name>Entire Application</web-resource-name>
		<url-pattern>/*</url-pattern>
	</web-resource-collection>
	<!-- auth-constraint goes here if you require authentication -->
	<user-data-constraint>
		<transport-guarantee>CONFIDENTIAL</transport-guarantee>
	</user-data-constraint>
</security-constraint>
    4. Sla het bestand op en sluit het.
  5. Wijzig het adres van de interne server:
    1. Ga naar C:\Program Files\RICOH\Supervisor en bewerk het bestand config.json als beheerder.
    2. Vervang de regel "webAddress": "http://localhost:19280", door "webAddress": "https://localhost:8443",.
    3. Sla het bestand op en sluit het.
  6. Start de RICOH Supervisor Data Collector-service:
    1. Ga naar Bedieningspaneel Systeembeheer en dubbelklik op Services.
    2. Klik met de rechtermuisknop in de lijst met services op RICOH Supervisor Web Server en selecteer Starten.
  7. Controleer of aanvragen worden doorgestuurd naar de beveiligde verbinding:
    1. Open een venster van een ondersteunde webbrowser.
    2. Voer deze URL in de adresbalk in.

      http://server_address:port_number/DataCollector

      waarbij server_address de hostnaam of het IP-adres is van de computer waarop RICOH Supervisor Data Collector is geïnstalleerd en port_number de webserverpoort.

      Bij het laden van de pagina zou het adres moeten veranderen in https://server_address:port_number/DataCollector.

Wanneer gebruikers het systeem openen, worden ze naar het beveiligde protocol doorgestuurd zonder dat ze hiervoor zelf iets hoeven doen. Als u echter een zelfondertekend certificaat gebruikt of als het certificaat niet specifiek aan de server is gebonden, verschijnt er in de webbrowser een waarschuwing dat het certificaat niet wordt vertrouwd.

Zorg ervoor dat u de procedure voor het inschakelen van HTTPS telkens herhaalt wanneer het certificaat op het punt staat te verlopen. U moet deze procedure ook telkens herhalen wanneer u het installatieproces uitvoert om RICOH Supervisor Data Collector opnieuw te installeren, te upgraden of te herstellen.

Als u HTTPS niet meer wilt inschakelen nadat u RICOH Supervisor Data Collector heeft hersteld, moet u het adres van de interne server weer wijzigen in HTTP:

  1. Ga naar C:\Program Files\RICOH\Supervisor en bewerk het bestand config.json als beheerder.
  2. Vervang de regel "webAddress": "https://localhost:8443", door "webAddress": "http://localhost:19280",.
  3. Sla het bestand op en sluit het.
  4. Start de RICOH Supervisor Data Collector-service opnieuw:

Ouder onderwerp: HTTPS inschakelen voor RICOH Supervisor Data Collector