نصب گواهینامه SSL سرویس دسک

منتشر شده توسط مدانت در دسامبر 27, 2016

دسته بندی

آموزش سرویس دسک پلاس

تگ ها

مدانت

[ مجری تخصصی پیاده‌سازی چارچوب ITIL و تحول دیجیتال ]

نصب گواهینامه SSLمقدمهگام‌های نصب SSL در سرویس دسک پلاس نصب یک گواهینامه .P7b دستورات نصب گواهینامه‌های برخی از شرکت‌های تولید کننده معروف مقدمه سرویس دسک پلاس می‌تواند به صورت یک سرویس HTTPS اجرا شود. اما نیاز به یک گواهینامه SSL (لایه سوکت ایمن) دارد که توسط یک مرکز گواهی دهنده (CA) امضا شده باشد. به صورت پیش فرض در اولین بار اجرا، یک گواهینامه خودامضاشده ایجاد می‌شود. این گواهی خودامضا شده مورد اعتماد مرورگرهای کاربر نخواهد بود. بنابراین در هنگام اتصال به سرویس دسک پلاس باید به صورت دستی اطلاعات گواهینامه و نام میزبان و سرور سرویس دسک پلاس را تایید کنید و مرورگر را مجبور به پذیرش گواهینامه کنید. برای اینکه سرور سرویس دسک پلاس خودش را به درستی به مرورگر وب و کاربر بشناساند، باید یک گواهینامه امضا شده جدید از CA برای میزبان سرویس دسک پلاس تهیه کنید. می‌توانید از کیتول (که به همراه جاوا است) برای ایجاد گواهینامه‌های خود استفاده کنید و آنها را به امضای یک CA برسانید و سپس از آنها در سرویس دسک پلاس استفاده کنید. گام‌های نصب SSL در سرویس دسک پلاس گام‌های پیکربندی سرویس دسک پلاس به منظور استفاده از SSL به شکل زیر هستند: گام ۱: ایجاد یک فایل کی استور گام ۲: ایجاد یک فایل .CSR (درخواست امضای گواهینامه) گام ۳: نصب گواهینامه SSL گام ۴: پیکربندی سرور توجه: درتمام تصاویر، متن هایلایت شده را با نام مستعاری که می‌خواهید برای SDP استفاده کنید جایگزین کنید. گام ۱: ایجاد یک فایل کی استور قبل از درخواست گواهینامه از CA، باید فایل “.keystore” و فایل “.csr” را ایجاد کنید. فایل .keystore و فایل .csr شامل اطلاعاتی در مورد افرادی خواهد بود که این فایل‌ها را ایجاد کرده‌اند. برای ایجاد فایل .keystore گام‌های زیر را انجام دهید:
1. خط فرمان را باز کنید.
2. از <installation directory> \ jre\ bin دستور زیر را اجرا کنید:
keytool -genkey -alias <your_alias_name> or [Domain Name] - keyalg RSA -keystore sdp.keystore
1. اگر شرکت تهیه کننده الزام به تهیه CSR با سایز ۲۰۴۸ کرده بود از دستور زیر استفاده کنید:
keytool -genkey -alias <your_alias_name> or [Domain Name] -
keyalg RSA -keysize 2048 -keystore sdp.keystore
1. سپس از شما خواسته می‌شود که کلمه عبور برای کی استور خودتان انتخاب کنید.
توجه: لطفا دقت کنید که کلمه عبور نباید دارای علامت $ باشد.
1. وقتی که از شما نام و نام خانوادگی‌تان را پرسید، منظور از این جمله نام و نام خانوادگی شما نیست. بلکه باید نام دامنه مناسب برای سایتی که مورد نظرتان است در اینجا وارد کنید.
2. اگر یک گواهینامه وایلدکارد سفارش می‌دهید باید در ابتدا کاراکتر * را به شکل زیر وارد کرده باشید:
3. پس از وارد کردن اطلاعات مورد نیاز، صحت این اطلاعات را با وارد کردن ‘y’ یا ‘yes’ تایید کنید.
4. پس از پایان اجرای دستور فوق، از شما خواسته می‌شود که کلمه عبور کی استور را وارد کنید. سعی کنید که کلمه عبور را دقیقا عین کلمه عبور کلید خود بدهید. حتما و حتما کلمه عبور انتخابی خود را به خاطر بسپارید.
5. فایل کی استور شما با نام sdp.keystore در دایرکتوری کاری شما ایجاد شده است.
توجه: لطفا یک کپی پشتیبان از فایل sdp.keystore خود قبل از نصب گواهینامه‌ها تهیه کنید. این کی استور پشتیبان گیری شده می‌توان در صورتی که اتفاقی غیر منتظره در نصب گواهینامه رخ داد یا می‌خواهید سال بعد گواهینامه جدیدی تهیه کنید به درد می‌خورد. گام ۲: ایجاد فایل .CSR (درخواست امضای گواهینامه) فایل .CSR (درخواست امضای گواهینامه) موقتی است و باید برای دریافت فایل‌های گواهینامه امضا شده CA به CA ارائه شود. برای ایجاد فایل CSR گام‌های زیر را انجام دهید.
1. خط فرمان را باز کنید.
2. از قسمت <installation directory> \ jre \ bin دستور زیر را اجرا کنید:
keytool -certreq -alias <your_alias_name> -file key.csr -keystore sdp.keystore در قسمت بالا <your_alias_name> نام مستعاری است که در هنگام ایجاد کی استور وارد کرده‌اید و key.csr نام فایل CSR است که پس از اجرای دستور ایجاد خواهد شد. گام ۳: نصب گواهینامه SSL فایل‌های گواهینامه دریافت شده از CA که به ایمیل شما ارسال شده است را در همان پوشه‌ای که کی استور (sdp.keystore) در فرایند ایجاد CSR ذخیره شده بود دانلود کنید. گواهینامه‌ها باید دقیقا بر روی همین کی استور نصب شوند. اگر سعی کنید آنها را بر کی استور دیگری نصب کنید کار نخواهند کرد. گواهینامه‌هایی که دانلود کرده‌اید باید با رعایت ترتیب صحیح بر Keystore نصب شوند تا گواهینامه مورد اعتماد قرار بگیرد. اگر گواهینامه‌ها با ترتیب صحیح نصب نشوند، گواهینامه به درستی هویت سنجی نخواهد شد. برای پیدا کردن ترتیب صحیح، بر روی گواهینامه دامین دو بار کلیک کنید و سپس به قسمت ‘Certificate Path’ بروید. این گواهینامه‌ها معمولا با فرمت .cer یا .crt هستند. اگر گواهینامه شما با پسوند .p7b است لطفا از دستورات داده شده تحت عنوان "نصب گواهینامه .P7b" پیروی کنید تا گواهینامه‌ها را به فرمت .cer یا .crt اکسپورت کنید. با توجه به مسیر گواهینامه که در بالا دیدیم می‌توان به این نتیجه رسید که باید اول دو گواهینامه دیگر را قبل از گواهینامه دامنه ایمپورت کنیم. اول Root و بعد Intermediate و درنهایت نوبت به گواهینامه دامنه دامنه “Domain” می‌رسد. برخی CAها ممکن است از یک گواهینامه دیگر به نام Cross Intermediate نیز استفاده کنند. این گواهینامه‌ها را می‌توان از وبسایت شرکت مربوطه تهیه کرد. نصب فایل گواهینامه Root هر بار که یک گواهینامه را بر کی استور خودتان نصب می‌کنید از شما خواسته خواهد شد کلمه عبور کی استور را وارد کنید که در هنگام ایجاد CSR آن را انتخاب کرده‌اید. دستور زیر را برای نصب فایل گواهینامه ریشه Root وارد کنید: keytool -import -trustcacerts -alias root -file <File_Name>.crt -keystore sdp.keystorehttps://www.manageengine.com/products/service-desk/help/adminguide/images/img7.jpg
توجه: اگر پیامی تحت عنوان زیر دریافت کردید"Certificate already exists in system-wide CA keystore under alias <Alias Name> Do you still want to add it to your own keystore? [no]:"
که معنای آن چنین است"گواهی در کی استور CA سیستم تحت نام مستعار <Alias Name> موجود است. آیا هنوز مایلید این گواهینامه را به کی استور خودتان اضافه کنید؟ [no]:" در صورت دریافت این پیام ‘Yes’ را انتخاب کنید یک پیام تایید به صورت “Certificate was added to keystore” برای شما نمایش داده خواهد شد. نصب گواهینامه‌های واسطه Intermediate و Cross Intermediate (در صورت وجود) از دستورات ارائه شده توسط CA پیروی کنید: keytool -import -trustcacerts –alias intermediate -file <File_Name>.crt - keystore sdp.keystore keytool -import -trustcacerts –alias cross -file <File_Name>.crt -keystore sdp.keystore پیام تاییدی به شکل “Certificate was added to keystore” دریافت خواهید کرد: نصب فایل گواهینامه دامنه Domain یا اصلی برای نصب فایل گواهینامه اصلی دستور زیر را تایپ کنید: keytool -import -trustcacerts -alias <your_alias_name or [Domain Name]> -file your_domain_name.crt -keystore sdp.keystore لطفا توجه کنید که باید به جای <your_alias_name or [Domain Name]> نام مستعاری که در هنگام ایجاد keystore (گام ۱) وارد کرده بودید را قرار دهید. این بار یک پیام تایید متفاوت به شکل “Certificate reply was installed in keystore” دریافت خواهید کرد. اگر می‌خواهید به گواهینامه اعتماد کنید، y یا yes را وارد کنید. حالا گواهینامه‌های شما در فایل کی استور نصب شده‌اند (sdp.keystore) گام ۴: پیکربندی سرور
1. فایل sdp.keystore را از <ServiceDesk_Home>\jre\bin به <ServiceDesk_Home>\server\default\conf کپی کنید.
2. از خط فرمان اسکریپت changeWebServerPort.bat را اجرا کنید تا حالت اتصال را به HTTPS تغییر دهید.
Cmd>[سرویس دسک پلاس Home]\bin> changeWebServerPort.bat <WEBSERVER_PORT> https
1. نهایتا، نام کی استور و کلمه عبور را که در گام ۱ در هنگام تولید فایل server.xml داده بودید، در فایل server.xml که در زیر نشان داده شده است به روزرسانی کنید:
<ServiceDesk_Home>\server\default\deploy\jbossweb-tomcat50.sar
1. برای اعمال تغییرات سرویس ManageEngine ServiceDesk Plus را ری استارت کنید.
نصب یک گواهینامه .P7b برخی CAها گواهینامه‌های با پسوند .p7b ارائه می‌کنند. در این حالت می‌توانید بر روی این فایل دو بار کلیک کنید تا یک کنسول باز شود که تمام گواهینامه‌های مورد نیاز را لیست می‌کند. سپس می‌توانید این گواهینامه‌ها را به صورت فایل‌های X.509 رمزنگاری شده پایه ۶۴ (.cer) اکسپورت کنید (لطفا اسکرین شات داده شده را نگاه کنید). این گواهینامه‌ها را می‌توان براساس دستورات داده شده در گام ۳ نصب کرد. برای اکسپورت کردن:
1. به [سرویس دسک پلاس Home] \ jre \ bin\ domain.P7B بروید:
2. بر روی گواهینامه کلیک راست کنید و گزینه All Tasks->Export را انتخاب کنید.
3. جعبه Certificate Export Wizard باز می‌شود. برای ادامه بر Next کلیک کنید.
4. فرمت اکسپورت فایل را به صورت “Base-64 encoded X.509 (.CER)” انتخاب کنید و بر Next کلیک کنید.
5. نام فایلی که می‌خواهید اکسپورت کنید را مشخص کنید. بر Next کلید کنید.
6. فرایند اکسپورت گواهینامه با موفقیت به پایان رسید. می‌توانید تنظیماتی که مشخص کرده‌اید را کنترل کنید. بر Finish کلیک کنید.
7. پیام موفقیت در یک جعبه دیالوگ نمایش داده می‌شود. بر روی OK کلیک کنید.
دستورات نصب گواهینامه برخی از شرکت‌های معروف در قسمت زیر دستوراتی که برای نصب گواهینامه‌های برخی شرکت‌های معروف لازم است آورده شده است: توجه: این دستورات ممکن است بسته به گواهینامه‌های صادرشده توسط CA تغییر کنند. GoDaddy اگر CA شما “GoDaddy” است گام‌های زیر را انجام دهید keytool -import -alias root -keystore <Keystore_Name>.keystore -trustcacerts -file gd_bundle.crt keytool -import -alias cross -keystore <Keystore_Name>.keystore -trustcacerts -file gd_cross_intermediate.crt keytool -import -alias intermediate -keystore <Keystore_Name>.keystore - trustcacerts -file gd_intermediate.crt keytool -import -alias <Alias Specified when creating the Keystore> -keystore <Keystore_Name>.keystore -trustcacerts -file <CertificateName>.crt Verisign Verisign اگر CA شما “Verisign” است گام‌های زیر را انجام دهید: keytool -import -alias intermediateCA -keystore <Keystore_Name>.keystore - trustcacerts -file <your_intermediate_certificate_name>.cer keytool -import -alias <Alias Specified when creating the Keystore> -keystore >Keystore_Name>.keystore -trustcacerts -file <CertificateName>.cer Comodo اگر CA شما “Comodo” است گام‌های زیر را انجام دهید: keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <Keystore_Name>.keystore keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt –keystore <Keystore_Name>.keystore keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt- keystore <Keystore_Name>.keystore keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <Keystore_Name>.keystore keytool -import -trustcacerts -alias <Alias Specified when creating the Keystore< - file <Certificate-Name>.crt -keystore <Keystore_Name>.keystore تمدید گواهینامه SSL به منظور استفاده از گواهینامه تجدید شده، باید یک پشتیبان از فایل کی استور کنونی (که در هنگام پیکربندی SSL ایجاد شده است)، که قبل از نصب گواهینامه باید این پشتیبان تهیه شده است. اگر این فایل وجود دارد، می‌توانید این فایل را در [ServiceDesk Home]\jre\bin جایگزین کنید و دستورالعمل‌های گام ۳ : نصب گواهینامه SSL را انجام دهید. اگر پشتیبان فایل کی استور خود را ندارید، باید از اول شروع کنید. یعنی از گام ۱ باید شروع کنید و گواهینامه‌های جدید برای CSR جدید تهیه کنید (درخواست امضای گواهینامه). می‌توانید از دستورات زیر برای تهیه لیستی از گواهینامه‌های نصب شده در کی استور استفاده کنید. keytool.exe –list –keystore sdp.keystore در زیر مثالی از این دیده می‌شود که کی استور قبل از نصب گواهینامه‌ها به چه شکلی است. در این حالت فقط keyEntry وجود خواهد داشت. نصب گواهینامه .PFX .PFX پسوندی برای گواهینامه امنیتی است. این پسوند یک فایل فرمت را تعریف می‌کند که کلیدهای خصوصی (تولید شده توسط سرور در زمان ایجاد CSR) و گواهینامه کلید عمومی (گواهینامه SSL شما که توسط CA ارائه شده است) را در یک فایل رمزنگاری شده ذخیره می‌کند. برای نصب یک گواهینامه با پسوند .PFX
1. سرویس ManageEngine ServiceDesk Plus را متوقف کنید.
2. فایل .pfx را به مکان زیر کپی کنید:
C:\ManageEngine\ServiceDesk\server\default\conf (که در اینجا C: درایوی است که سرویس دسک پلاس در آن نصب شده است)
1. پورت سرور وب را به ۴۴۳ تغییر دهید تا سرویس دسک پلاس در حالت ایمن اجرا شود. برای تغییر پورت سرور وب، خط فرمان را باز کنید و به [سرویس دسک پلاس Home]\bin بروید. دستور زیر را وارد کنید:
[سرویس دسک پلاس Home]\bin> changewebserverport.bat 443 https
1. به مکان زیر بروید :
[سرویس دسک پلاس Home]\server\default\deploy\jbossweb-tomcat50.sar و فایل ‘server.xml’ را در برنامه وردپد باز کنید.
1. قسمت زیر را در فایل پیدا کنید:
<!-- SSL/TLS Connector configuration using the admin devl guide keystore <Connector port="8443" address="${jboss.bind.address}" maxThreads="100" minSpareThreads="5" maxSpareThreads="15" scheme="https" secure="true" clientAuth="false" keystoreFile="${jboss.server.home.dir}/conf/sdp.keystore" keystorePass="sdpsecured" sslProtocol = "TLS" />
1. نام فایل sdp.keystore را با نام فایل pfx (name.pfx) جایگزین کنید و پس از نام فایل keystoretype=”pkcs12” را وارد کنید. همچنین ‘sdpsecured’ را با کلمه عبور فایل .pfx جایگزین کنید.
2. پس از این مراحل باید چیزی شبیه به این داشته باشید:
<!-- SSL/TLS Connector configuration using the admin devl guide keystore <Connector port="8443" address="${jboss.bind.address}" maxThreads="100" minSpareThreads="5" maxSpareThreads="15" scheme="https" secure="true" clientAuth="false" keystoreFile="${jboss.server.home.dir}/conf/name.pfx" keystoreType="pkcs12" keystorePass="your password" sslProtocol = "TLS" />
1. سرویس ManageEngine ServiceDesk Plus را راه اندازی مجدد کنید.

مطلب مرتبط: اعمال ارتقا از کنسول یا خط فرمان

مدانت

شرکت‌ مدانت از برندهای محبوب فناوری‌ اطلاعات و ارتباطات در حوزه‌ی آموزش، پیاده‌سازی و عرضه ابزار ITIL، تجارت آنلاین، تحول دیجیتال و ارایه‌‌کننده‌ی محصولات مدیریتی تحت‌وب در ایران است. این مقاله‌ی آموزشی منحصراً مربوط به مدانت بوده و برای نخستین بار توسط این شرکت برای شما تولید و منتشر شده.

دیدگاه ها بسته شده است

نصب گواهینامه SSL سرویس دسک

مطالب مرتبط