نصب یک گواهینامه .P7b

دستورات نصب گواهینامه‌های برخی از شرکت‌های تولید کننده معروف

مقدمه

سرویس دسک پلاس می‌تواند به صورت یک سرویس HTTPS اجرا شود. اما نیاز به یک گواهینامه SSL (لایه سوکت ایمن) دارد که توسط یک مرکز گواهی دهنده (CA) امضا شده باشد.

به صورت پیش فرض در اولین بار اجرا، یک گواهینامه خودامضاشده ایجاد می‌شود. این گواهی خودامضا شده مورد اعتماد مرورگرهای کاربر نخواهد بود. بنابراین در هنگام اتصال به سرویس دسک پلاس باید به صورت دستی اطلاعات گواهینامه و نام میزبان و سرور سرویس دسک پلاس را تایید کنید و مرورگر را مجبور به پذیرش گواهینامه کنید.

برای اینکه سرور سرویس دسک پلاس خودش را به درستی به مرورگر وب و کاربر بشناساند، باید یک گواهینامه امضا شده جدید از CA برای میزبان سرویس دسک پلاس تهیه کنید. می‌توانید از کیتول (که به همراه جاوا است) برای ایجاد گواهینامه‌های خود استفاده کنید و آنها را به امضای یک CA برسانید و سپس از آنها در سرویس دسک پلاس استفاده کنید.

گام‌های نصب SSL در سرویس دسک پلاس

گام‌های پیکربندی سرویس دسک پلاس به منظور استفاده از SSL به شکل زیر هستند:

گام ۱: ایجاد یک فایل کی استور

گام ۲: ایجاد یک فایل .CSR (درخواست امضای گواهینامه)

گام ۳: نصب گواهینامه SSL

گام ۴: پیکربندی سرور

توجه: درتمام تصاویر، متن هایلایت شده را با نام مستعاری که می‌خواهید برای SDP استفاده کنید جایگزین کنید.

گام ۱: ایجاد یک فایل کی استور

قبل از درخواست گواهینامه از  CA، باید فایل “.keystore”  و فایل “.csr” را ایجاد کنید. فایل .keystore و فایل .csr شامل اطلاعاتی در مورد افرادی خواهد بود که این فایل‌ها را ایجاد کرده‌اند.

برای ایجاد فایل .keystore گام‌های زیر را انجام دهید:

1. خط فرمان را باز کنید.
2. از <installation directory> \ jre\ bin دستور زیر را اجرا کنید:

keytool -genkey -alias <your_alias_name> or [Domain Name] –

keyalg RSA -keystore sdp.keystore

3. اگر شرکت تهیه کننده الزام به تهیه CSR با سایز ۲۰۴۸ کرده بود از دستور زیر استفاده کنید:

keytool -genkey -alias <your_alias_name> or [Domain Name] –

4. سپس از شما خواسته می‌شود که کلمه عبور برای کی استور خودتان انتخاب کنید.

توجه: لطفا دقت کنید که کلمه عبور نباید دارای علامت $ باشد.

5. وقتی که از شما نام و نام خانوادگی‌تان را پرسید، منظور از این جمله نام و نام خانوادگی شما نیست. بلکه باید نام دامنه مناسب برای سایتی که مورد نظرتان است در اینجا وارد کنید.
6. اگر یک گواهینامه وایلدکارد سفارش می‌دهید باید در ابتدا کاراکتر * را به شکل زیر وارد کرده باشید:
7. پس از وارد کردن اطلاعات مورد نیاز، صحت این اطلاعات را با وارد کردن ‘y’ یا ‘yes’ تایید کنید.
8. پس از پایان اجرای دستور فوق، از شما خواسته می‌شود که کلمه عبور کی استور را وارد کنید. سعی کنید که کلمه عبور را دقیقا عین کلمه عبور کلید خود بدهید. حتما و حتما کلمه عبور انتخابی خود را به خاطر بسپارید.
9. فایل کی استور شما با نام sdp.keystore در دایرکتوری کاری شما ایجاد شده است.

توجه: لطفا یک کپی پشتیبان از فایل sdp.keystore خود قبل از نصب گواهینامه‌ها تهیه کنید. این کی استور پشتیبان گیری شده می‌توان در صورتی که اتفاقی غیر منتظره در نصب گواهینامه رخ داد یا می‌خواهید سال بعد گواهینامه جدیدی تهیه کنید به درد می‌خورد.

گام ۲: ایجاد فایل .CSR (درخواست امضای گواهینامه)

فایل .CSR (درخواست امضای گواهینامه) موقتی است و باید برای دریافت فایل‌های گواهینامه امضا شده CA به CA ارائه شود.

برای ایجاد فایل CSR گام‌های زیر را انجام دهید.

1. خط فرمان را باز کنید.
2. از قسمت <installation directory> \ jre \ bin دستور زیر را اجرا کنید:

keytool -certreq -alias <your_alias_name> -file key.csr -keystore sdp.keystore

در قسمت بالا <your_alias_name> نام مستعاری است که در هنگام ایجاد کی استور وارد کرده‌اید و key.csr نام فایل CSR است که پس از اجرای دستور ایجاد خواهد شد.

گام ۳: نصب گواهینامه SSL

فایل‌های گواهینامه دریافت شده از CA که به ایمیل شما ارسال شده است را در همان پوشه‌ای که کی استور (sdp.keystore) در فرایند ایجاد CSR ذخیره شده بود دانلود کنید. گواهینامه‌ها باید دقیقا بر روی همین کی استور نصب شوند. اگر سعی کنید آنها را بر کی استور دیگری نصب کنید کار نخواهند کرد.

گواهینامه‌هایی که دانلود کرده‌اید باید با رعایت ترتیب صحیح بر Keystore نصب شوند تا گواهینامه مورد اعتماد قرار بگیرد. اگر گواهینامه‌ها با ترتیب صحیح نصب نشوند، گواهینامه به درستی هویت سنجی نخواهد شد. برای پیدا کردن ترتیب صحیح، بر روی گواهینامه دامین دو بار کلیک کنید و سپس به قسمت ‘Certificate Path’ بروید.

این گواهینامه‌ها معمولا با فرمت .cer یا .crt هستند. اگر گواهینامه شما با پسوند .p7b است لطفا از دستورات داده شده تحت عنوان “نصب گواهینامه .P7b” پیروی کنید تا گواهینامه‌ها را به فرمت .cer یا .crt اکسپورت کنید.

با توجه به مسیر گواهینامه که در بالا دیدیم می‌توان به این نتیجه رسید که باید اول دو گواهینامه دیگر را قبل از گواهینامه دامنه ایمپورت کنیم. اول Root و بعد Intermediate و درنهایت نوبت به گواهینامه دامنه دامنه “Domain” می‌رسد. برخی CAها ممکن است از یک گواهینامه دیگر به نام Cross Intermediate نیز استفاده کنند. این گواهینامه‌ها را می‌توان از وبسایت شرکت مربوطه تهیه کرد.

نصب فایل گواهینامه Root

هر بار که یک گواهینامه را بر کی استور خودتان نصب می‌کنید از شما خواسته خواهد شد کلمه عبور کی استور را وارد کنید که در هنگام ایجاد CSR آن را انتخاب کرده‌اید. دستور زیر را برای نصب فایل گواهینامه ریشه Root وارد کنید:

keytool -import -trustcacerts -alias root -file <File_Name>.crt -keystore

sdp.keystorehttps://www.manageengine.com/products/service-desk/help/adminguide/images/img7.jpg

در صورت دریافت این پیام ‘Yes’ را انتخاب کنید

یک پیام تایید به صورت “Certificate was added to keystore” برای شما نمایش داده خواهد شد.

نصب گواهینامه‌های واسطه Intermediate و Cross Intermediate (در صورت وجود)

از دستورات ارائه شده توسط CA پیروی کنید:

keytool -import -trustcacerts –alias intermediate -file <File_Name>.crt – keystore sdp.keystore

keytool -import -trustcacerts –alias cross -file <File_Name>.crt -keystore sdp.keystore

پیام تاییدی به شکل “Certificate was added to keystore” دریافت خواهید کرد:

نصب فایل گواهینامه دامنه Domain یا اصلی

برای نصب فایل گواهینامه اصلی دستور زیر را تایپ کنید:

keytool -import -trustcacerts -alias <your_alias_name or [Domain Name]> -file your_domain_name.crt -keystore sdp.keystore

لطفا توجه کنید که باید به جای <your_alias_name or [Domain Name]>  نام مستعاری که در هنگام ایجاد keystore  (گام ۱) وارد کرده بودید را قرار دهید. این بار یک پیام تایید متفاوت به شکل “Certificate reply was installed in keystore” دریافت خواهید کرد.

اگر می‌خواهید به گواهینامه اعتماد کنید، y یا yes را وارد کنید. حالا گواهینامه‌های شما در فایل کی استور نصب شده‌اند (sdp.keystore)

گام ۴: پیکربندی سرور

1. فایل sdp.keystore را از <ServiceDesk_Home>\jre\bin به <ServiceDesk_Home>\server\default\conf کپی کنید.
2. از خط فرمان اسکریپت changeWebServerPort.bat را اجرا کنید تا حالت اتصال را به HTTPS تغییر دهید.

Cmd>[سرویس دسک پلاس Home]\bin> changeWebServerPort.bat

<WEBSERVER_PORT> https

3. نهایتا، نام کی استور و کلمه عبور را که در گام ۱ در هنگام تولید فایل server.xml داده بودید، در فایل server.xml که در زیر نشان داده شده است به روزرسانی کنید:

<ServiceDesk_Home>\server\default\deploy\jbossweb-tomcat50.sar

4. برای اعمال تغییرات سرویس ManageEngine ServiceDesk Plus را ری استارت کنید.

نصب یک گواهینامه .P7b

برخی CAها گواهینامه‌های با پسوند .p7b ارائه می‌کنند. در این حالت می‌توانید بر روی این فایل دو بار کلیک کنید تا یک کنسول باز شود که تمام گواهینامه‌های مورد نیاز را لیست می‌کند. سپس می‌توانید این گواهینامه‌ها را به صورت فایل‌های X.509 رمزنگاری شده پایه ۶۴ (.cer) اکسپورت کنید (لطفا اسکرین شات داده شده را نگاه کنید).

این گواهینامه‌ها را می‌توان براساس دستورات داده شده در گام ۳ نصب کرد.

برای اکسپورت کردن:

1. به [سرویس دسک پلاس Home] \ jre \ bin\ domain.P7B بروید:
2. بر روی گواهینامه کلیک راست کنید و گزینه All Tasks->Export را انتخاب کنید.
3. جعبه Certificate Export Wizard باز می‌شود. برای ادامه بر Next کلیک کنید.
4. فرمت اکسپورت فایل را به صورت “Base-64 encoded X.509 (.CER)” انتخاب کنید و بر Next کلیک کنید.
5. نام فایلی که می‌خواهید اکسپورت کنید را مشخص کنید. بر Next کلید کنید.
6. فرایند اکسپورت گواهینامه با موفقیت به پایان رسید. می‌توانید تنظیماتی که مشخص کرده‌اید را کنترل کنید. بر Finish کلیک کنید.
7. پیام موفقیت در یک جعبه دیالوگ نمایش داده می‌شود. بر روی OK کلیک کنید.

دستورات نصب گواهینامه برخی از شرکت‌های معروف

در قسمت زیر دستوراتی که برای نصب گواهینامه‌های برخی شرکت‌های معروف لازم است آورده شده است:

توجه: این دستورات ممکن است بسته به گواهینامه‌های صادرشده توسط CA تغییر کنند.

GoDaddy

اگر CA شما “GoDaddy” است گام‌های زیر را انجام دهید

keytool -import -alias root -keystore <Keystore_Name>.keystore -trustcacerts -file gd_bundle.crt

keytool -import -alias cross -keystore <Keystore_Name>.keystore -trustcacerts -file gd_cross_intermediate.crt

keytool -import -alias intermediate -keystore <Keystore_Name>.keystore – trustcacerts -file gd_intermediate.crt

keytool -import -alias <Alias Specified when creating the Keystore> -keystore <Keystore_Name>.keystore -trustcacerts -file <CertificateName>.crt Verisign

Verisign

اگر CA شما “Verisign” است گام‌های زیر را انجام دهید:

keytool -import -alias intermediateCA -keystore <Keystore_Name>.keystore – trustcacerts -file <your_intermediate_certificate_name>.cer

keytool -import -alias <Alias Specified when creating the Keystore> -keystore >Keystore_Name>.keystore -trustcacerts -file <CertificateName>.cer

Comodo

اگر CA شما “Comodo” است گام‌های زیر را انجام دهید:

keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <Keystore_Name>.keystore

keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt –keystore <Keystore_Name>.keystore

keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt-  keystore <Keystore_Name>.keystore

keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <Keystore_Name>.keystore

keytool -import -trustcacerts -alias <Alias Specified when creating the Keystore< – file <Certificate-Name>.crt -keystore <Keystore_Name>.keystore

تمدید گواهینامه SSL

به منظور استفاده از گواهینامه تجدید شده، باید یک پشتیبان از فایل کی استور کنونی (که در هنگام پیکربندی SSL ایجاد شده است)، که قبل از نصب گواهینامه باید این پشتیبان تهیه شده است. اگر این فایل وجود دارد، می‌توانید این فایل را در [ServiceDesk Home]\jre\bin جایگزین کنید و دستورالعمل‌های گام ۳ : نصب گواهینامه SSL را انجام دهید.

اگر پشتیبان فایل کی استور خود را ندارید، باید از اول شروع کنید. یعنی از گام ۱ باید شروع کنید و گواهینامه‌های جدید برای CSR جدید تهیه کنید (درخواست امضای گواهینامه).

می‌توانید از دستورات زیر برای تهیه لیستی از گواهینامه‌های نصب شده در کی استور استفاده کنید.

keytool.exe –list –keystore sdp.keystore

در زیر مثالی از این دیده می‌شود که کی استور قبل از نصب گواهینامه‌ها به چه شکلی است. در این حالت فقط keyEntry وجود خواهد داشت.

نصب گواهینامه .PFX

.PFX پسوندی برای گواهینامه امنیتی است. این پسوند یک فایل فرمت را تعریف می‌کند که کلیدهای خصوصی (تولید شده توسط سرور در زمان ایجاد CSR) و گواهینامه کلید عمومی (گواهینامه SSL شما که توسط CA ارائه شده است) را در یک فایل رمزنگاری شده ذخیره می‌کند.

برای نصب یک گواهینامه با پسوند .PFX

1. سرویس ManageEngine ServiceDesk Plus را متوقف کنید.
2. فایل .pfx را به مکان زیر کپی کنید:

C:\ManageEngine\ServiceDesk\server\default\conf

(که در اینجا C: درایوی است که سرویس دسک پلاس در آن نصب شده است)

3. پورت سرور وب را به ۴۴۳ تغییر دهید تا سرویس دسک پلاس در حالت ایمن اجرا شود. برای تغییر پورت سرور وب، خط فرمان را باز کنید و به [سرویس دسک پلاس Home]\bin بروید. دستور زیر را وارد کنید:

[سرویس دسک پلاس Home]\bin> changewebserverport.bat 443 https

4. به مکان زیر بروید :

[سرویس دسک پلاس Home]\server\default\deploy\jbossweb-tomcat50.sar

و فایل ‘server.xml’ را در برنامه وردپد باز کنید.

5. قسمت زیر را در فایل پیدا کنید:

<!– SSL/TLS Connector configuration using the admin devl guide keystore <Connector port=”8443″ address=”${jboss.bind.address}”

maxThreads=”100″ minSpareThreads=”5″ maxSpareThreads=”15″  scheme=”https” secure=”true” clientAuth=”false”  keystoreFile=”${jboss.server.home.dir}/conf/sdp.keystore”  keystorePass=”sdpsecured” sslProtocol = “TLS” />

6. نام فایل sdp.keystore را با نام فایل pfx (name.pfx) جایگزین کنید و پس از نام فایل keystoretype=”pkcs12” را وارد کنید. همچنین ‘sdpsecured’ را با کلمه عبور فایل .pfx جایگزین کنید.
7. پس از این مراحل باید چیزی شبیه به این داشته باشید:

<!– SSL/TLS Connector configuration using the admin devl guide keystore <Connector port=”8443″ address=”${jboss.bind.address}”  maxThreads=”100″ minSpareThreads=”5″ maxSpareThreads=”15″ scheme=”https” secure=”true” clientAuth=”false”  keystoreFile=”${jboss.server.home.dir}/conf/name.pfx” keystoreType=”pkcs12″ keystorePass=”your password” sslProtocol = “TLS” />

8. سرویس ManageEngine ServiceDesk Plus را راه اندازی مجدد کنید.