- نصب گواهینامه SSLمقدمهگامهای نصب SSL در سرویس دسک پلاس
نصب یک گواهینامه .P7b
دستورات نصب گواهینامههای برخی از شرکتهای تولید کننده معروف
مقدمه
سرویس دسک پلاس میتواند به صورت یک سرویس HTTPS اجرا شود. اما نیاز به یک گواهینامه SSL (لایه سوکت ایمن) دارد که توسط یک مرکز گواهی دهنده (CA) امضا شده باشد.
به صورت پیش فرض در اولین بار اجرا، یک گواهینامه خودامضاشده ایجاد میشود. این گواهی خودامضا شده مورد اعتماد مرورگرهای کاربر نخواهد بود. بنابراین در هنگام اتصال به سرویس دسک پلاس باید به صورت دستی اطلاعات گواهینامه و نام میزبان و سرور سرویس دسک پلاس را تایید کنید و مرورگر را مجبور به پذیرش گواهینامه کنید.
برای اینکه سرور سرویس دسک پلاس خودش را به درستی به مرورگر وب و کاربر بشناساند، باید یک گواهینامه امضا شده جدید از CA برای میزبان سرویس دسک پلاس تهیه کنید. میتوانید از کیتول (که به همراه جاوا است) برای ایجاد گواهینامههای خود استفاده کنید و آنها را به امضای یک CA برسانید و سپس از آنها در سرویس دسک پلاس استفاده کنید.
گامهای نصب SSL در سرویس دسک پلاس
گامهای پیکربندی سرویس دسک پلاس به منظور استفاده از SSL به شکل زیر هستند:
گام ۱: ایجاد یک فایل کی استور
گام ۲: ایجاد یک فایل .CSR (درخواست امضای گواهینامه)
گام ۳: نصب گواهینامه SSL
گام ۴: پیکربندی سرور
توجه: درتمام تصاویر، متن هایلایت شده را با نام مستعاری که میخواهید برای SDP استفاده کنید جایگزین کنید.
گام ۱: ایجاد یک فایل کی استور
قبل از درخواست گواهینامه از CA، باید فایل “.keystore” و فایل “.csr” را ایجاد کنید. فایل .keystore و فایل .csr شامل اطلاعاتی در مورد افرادی خواهد بود که این فایلها را ایجاد کردهاند.
برای ایجاد فایل .keystore گامهای زیر را انجام دهید:
- خط فرمان را باز کنید.
- از <installation directory> \ jre\ bin دستور زیر را اجرا کنید:
keytool -genkey -alias <your_alias_name> or [Domain Name] –
keyalg RSA -keystore sdp.keystore
- اگر شرکت تهیه کننده الزام به تهیه CSR با سایز ۲۰۴۸ کرده بود از دستور زیر استفاده کنید:
keytool -genkey -alias <your_alias_name> or [Domain Name] –
- keyalg RSA -keysize 2048 -keystore sdp.keystore
- سپس از شما خواسته میشود که کلمه عبور برای کی استور خودتان انتخاب کنید.
توجه: لطفا دقت کنید که کلمه عبور نباید دارای علامت $ باشد.
- وقتی که از شما نام و نام خانوادگیتان را پرسید، منظور از این جمله نام و نام خانوادگی شما نیست. بلکه باید نام دامنه مناسب برای سایتی که مورد نظرتان است در اینجا وارد کنید.
- اگر یک گواهینامه وایلدکارد سفارش میدهید باید در ابتدا کاراکتر * را به شکل زیر وارد کرده باشید:
- پس از وارد کردن اطلاعات مورد نیاز، صحت این اطلاعات را با وارد کردن ‘y’ یا ‘yes’ تایید کنید.
- پس از پایان اجرای دستور فوق، از شما خواسته میشود که کلمه عبور کی استور را وارد کنید. سعی کنید که کلمه عبور را دقیقا عین کلمه عبور کلید خود بدهید. حتما و حتما کلمه عبور انتخابی خود را به خاطر بسپارید.
- فایل کی استور شما با نام sdp.keystore در دایرکتوری کاری شما ایجاد شده است.
توجه: لطفا یک کپی پشتیبان از فایل sdp.keystore خود قبل از نصب گواهینامهها تهیه کنید. این کی استور پشتیبان گیری شده میتوان در صورتی که اتفاقی غیر منتظره در نصب گواهینامه رخ داد یا میخواهید سال بعد گواهینامه جدیدی تهیه کنید به درد میخورد.
گام ۲: ایجاد فایل .CSR (درخواست امضای گواهینامه)
فایل .CSR (درخواست امضای گواهینامه) موقتی است و باید برای دریافت فایلهای گواهینامه امضا شده CA به CA ارائه شود.
برای ایجاد فایل CSR گامهای زیر را انجام دهید.
- خط فرمان را باز کنید.
- از قسمت <installation directory> \ jre \ bin دستور زیر را اجرا کنید:
keytool -certreq -alias <your_alias_name> -file key.csr -keystore sdp.keystore
در قسمت بالا <your_alias_name> نام مستعاری است که در هنگام ایجاد کی استور وارد کردهاید و key.csr نام فایل CSR است که پس از اجرای دستور ایجاد خواهد شد.
گام ۳: نصب گواهینامه SSL
فایلهای گواهینامه دریافت شده از CA که به ایمیل شما ارسال شده است را در همان پوشهای که کی استور (sdp.keystore) در فرایند ایجاد CSR ذخیره شده بود دانلود کنید. گواهینامهها باید دقیقا بر روی همین کی استور نصب شوند. اگر سعی کنید آنها را بر کی استور دیگری نصب کنید کار نخواهند کرد.
گواهینامههایی که دانلود کردهاید باید با رعایت ترتیب صحیح بر Keystore نصب شوند تا گواهینامه مورد اعتماد قرار بگیرد. اگر گواهینامهها با ترتیب صحیح نصب نشوند، گواهینامه به درستی هویت سنجی نخواهد شد. برای پیدا کردن ترتیب صحیح، بر روی گواهینامه دامین دو بار کلیک کنید و سپس به قسمت ‘Certificate Path’ بروید.
این گواهینامهها معمولا با فرمت .cer یا .crt هستند. اگر گواهینامه شما با پسوند .p7b است لطفا از دستورات داده شده تحت عنوان “نصب گواهینامه .P7b” پیروی کنید تا گواهینامهها را به فرمت .cer یا .crt اکسپورت کنید.
با توجه به مسیر گواهینامه که در بالا دیدیم میتوان به این نتیجه رسید که باید اول دو گواهینامه دیگر را قبل از گواهینامه دامنه ایمپورت کنیم. اول Root و بعد Intermediate و درنهایت نوبت به گواهینامه دامنه دامنه “Domain” میرسد. برخی CAها ممکن است از یک گواهینامه دیگر به نام Cross Intermediate نیز استفاده کنند. این گواهینامهها را میتوان از وبسایت شرکت مربوطه تهیه کرد.
نصب فایل گواهینامه Root
هر بار که یک گواهینامه را بر کی استور خودتان نصب میکنید از شما خواسته خواهد شد کلمه عبور کی استور را وارد کنید که در هنگام ایجاد CSR آن را انتخاب کردهاید. دستور زیر را برای نصب فایل گواهینامه ریشه Root وارد کنید:
keytool -import -trustcacerts -alias root -file <File_Name>.crt -keystore
sdp.keystorehttps://www.manageengine.com/products/service-desk/help/adminguide/images/img7.jpg
- توجه: اگر پیامی تحت عنوان زیر دریافت کردید”Certificate already exists in system-wide CA keystore under alias <Alias Name> Do you still want to add it to your own keystore? [no]:”
- که معنای آن چنین است”گواهی در کی استور CA سیستم تحت نام مستعار <Alias Name> موجود است. آیا هنوز مایلید این گواهینامه را به کی استور خودتان اضافه کنید؟ [no]:”
در صورت دریافت این پیام ‘Yes’ را انتخاب کنید
یک پیام تایید به صورت “Certificate was added to keystore” برای شما نمایش داده خواهد شد.
نصب گواهینامههای واسطه Intermediate و Cross Intermediate (در صورت وجود)
از دستورات ارائه شده توسط CA پیروی کنید:
keytool -import -trustcacerts –alias intermediate -file <File_Name>.crt – keystore sdp.keystore
keytool -import -trustcacerts –alias cross -file <File_Name>.crt -keystore sdp.keystore
پیام تاییدی به شکل “Certificate was added to keystore” دریافت خواهید کرد:
نصب فایل گواهینامه دامنه Domain یا اصلی
برای نصب فایل گواهینامه اصلی دستور زیر را تایپ کنید:
keytool -import -trustcacerts -alias <your_alias_name or [Domain Name]> -file your_domain_name.crt -keystore sdp.keystore
لطفا توجه کنید که باید به جای <your_alias_name or [Domain Name]> نام مستعاری که در هنگام ایجاد keystore (گام ۱) وارد کرده بودید را قرار دهید. این بار یک پیام تایید متفاوت به شکل “Certificate reply was installed in keystore” دریافت خواهید کرد.
اگر میخواهید به گواهینامه اعتماد کنید، y یا yes را وارد کنید. حالا گواهینامههای شما در فایل کی استور نصب شدهاند (sdp.keystore)
گام ۴: پیکربندی سرور
- فایل sdp.keystore را از <ServiceDesk_Home>\jre\bin به <ServiceDesk_Home>\server\default\conf کپی کنید.
- از خط فرمان اسکریپت changeWebServerPort.bat را اجرا کنید تا حالت اتصال را به HTTPS تغییر دهید.
Cmd>[سرویس دسک پلاس Home]\bin> changeWebServerPort.bat
<WEBSERVER_PORT> https
- نهایتا، نام کی استور و کلمه عبور را که در گام ۱ در هنگام تولید فایل server.xml داده بودید، در فایل server.xml که در زیر نشان داده شده است به روزرسانی کنید:
<ServiceDesk_Home>\server\default\deploy\jbossweb-tomcat50.sar
- برای اعمال تغییرات سرویس ManageEngine ServiceDesk Plus را ری استارت کنید.
نصب یک گواهینامه .P7b
برخی CAها گواهینامههای با پسوند .p7b ارائه میکنند. در این حالت میتوانید بر روی این فایل دو بار کلیک کنید تا یک کنسول باز شود که تمام گواهینامههای مورد نیاز را لیست میکند. سپس میتوانید این گواهینامهها را به صورت فایلهای X.509 رمزنگاری شده پایه ۶۴ (.cer) اکسپورت کنید (لطفا اسکرین شات داده شده را نگاه کنید).
این گواهینامهها را میتوان براساس دستورات داده شده در گام ۳ نصب کرد.
برای اکسپورت کردن:
- به [سرویس دسک پلاس Home] \ jre \ bin\ domain.P7B بروید:
- بر روی گواهینامه کلیک راست کنید و گزینه All Tasks->Export را انتخاب کنید.
- جعبه Certificate Export Wizard باز میشود. برای ادامه بر Next کلیک کنید.
- فرمت اکسپورت فایل را به صورت “Base-64 encoded X.509 (.CER)” انتخاب کنید و بر Next کلیک کنید.
- نام فایلی که میخواهید اکسپورت کنید را مشخص کنید. بر Next کلید کنید.
- فرایند اکسپورت گواهینامه با موفقیت به پایان رسید. میتوانید تنظیماتی که مشخص کردهاید را کنترل کنید. بر Finish کلیک کنید.
- پیام موفقیت در یک جعبه دیالوگ نمایش داده میشود. بر روی OK کلیک کنید.
دستورات نصب گواهینامه برخی از شرکتهای معروف
در قسمت زیر دستوراتی که برای نصب گواهینامههای برخی شرکتهای معروف لازم است آورده شده است:
توجه: این دستورات ممکن است بسته به گواهینامههای صادرشده توسط CA تغییر کنند.
GoDaddy
اگر CA شما “GoDaddy” است گامهای زیر را انجام دهید
keytool -import -alias root -keystore <Keystore_Name>.keystore -trustcacerts -file gd_bundle.crt
keytool -import -alias cross -keystore <Keystore_Name>.keystore -trustcacerts -file gd_cross_intermediate.crt
keytool -import -alias intermediate -keystore <Keystore_Name>.keystore – trustcacerts -file gd_intermediate.crt
keytool -import -alias <Alias Specified when creating the Keystore> -keystore <Keystore_Name>.keystore -trustcacerts -file <CertificateName>.crt Verisign
Verisign
اگر CA شما “Verisign” است گامهای زیر را انجام دهید:
keytool -import -alias intermediateCA -keystore <Keystore_Name>.keystore – trustcacerts -file <your_intermediate_certificate_name>.cer
keytool -import -alias <Alias Specified when creating the Keystore> -keystore >Keystore_Name>.keystore -trustcacerts -file <CertificateName>.cer
Comodo
اگر CA شما “Comodo” است گامهای زیر را انجام دهید:
keytool -import -trustcacerts -alias root -file AddTrustExternalCARoot.crt -keystore <Keystore_Name>.keystore
keytool -import -trustcacerts -alias addtrust -file UTNAddTrustServerCA.crt –keystore <Keystore_Name>.keystore
keytool -import -trustcacerts -alias ComodoUTNServer -file ComodoUTNServerCA.crt- keystore <Keystore_Name>.keystore
keytool -import -trustcacerts -alias essentialSSL -file essentialSSLCA.crt -keystore <Keystore_Name>.keystore
keytool -import -trustcacerts -alias <Alias Specified when creating the Keystore< – file <Certificate-Name>.crt -keystore <Keystore_Name>.keystore
تمدید گواهینامه SSL
به منظور استفاده از گواهینامه تجدید شده، باید یک پشتیبان از فایل کی استور کنونی (که در هنگام پیکربندی SSL ایجاد شده است)، که قبل از نصب گواهینامه باید این پشتیبان تهیه شده است. اگر این فایل وجود دارد، میتوانید این فایل را در [ServiceDesk Home]\jre\bin جایگزین کنید و دستورالعملهای گام ۳ : نصب گواهینامه SSL را انجام دهید.
اگر پشتیبان فایل کی استور خود را ندارید، باید از اول شروع کنید. یعنی از گام ۱ باید شروع کنید و گواهینامههای جدید برای CSR جدید تهیه کنید (درخواست امضای گواهینامه).
میتوانید از دستورات زیر برای تهیه لیستی از گواهینامههای نصب شده در کی استور استفاده کنید.
keytool.exe –list –keystore sdp.keystore
در زیر مثالی از این دیده میشود که کی استور قبل از نصب گواهینامهها به چه شکلی است. در این حالت فقط keyEntry وجود خواهد داشت.
نصب گواهینامه .PFX
.PFX پسوندی برای گواهینامه امنیتی است. این پسوند یک فایل فرمت را تعریف میکند که کلیدهای خصوصی (تولید شده توسط سرور در زمان ایجاد CSR) و گواهینامه کلید عمومی (گواهینامه SSL شما که توسط CA ارائه شده است) را در یک فایل رمزنگاری شده ذخیره میکند.
برای نصب یک گواهینامه با پسوند .PFX
- سرویس ManageEngine ServiceDesk Plus را متوقف کنید.
- فایل .pfx را به مکان زیر کپی کنید:
C:\ManageEngine\ServiceDesk\server\default\conf
(که در اینجا C: درایوی است که سرویس دسک پلاس در آن نصب شده است)
- پورت سرور وب را به ۴۴۳ تغییر دهید تا سرویس دسک پلاس در حالت ایمن اجرا شود. برای تغییر پورت سرور وب، خط فرمان را باز کنید و به [سرویس دسک پلاس Home]\bin بروید. دستور زیر را وارد کنید:
[سرویس دسک پلاس Home]\bin> changewebserverport.bat 443 https
- به مکان زیر بروید :
[سرویس دسک پلاس Home]\server\default\deploy\jbossweb-tomcat50.sar
و فایل ‘server.xml’ را در برنامه وردپد باز کنید.
- قسمت زیر را در فایل پیدا کنید:
<!– SSL/TLS Connector configuration using the admin devl guide keystore <Connector port=”8443″ address=”${jboss.bind.address}”
maxThreads=”100″ minSpareThreads=”5″ maxSpareThreads=”15″ scheme=”https” secure=”true” clientAuth=”false” keystoreFile=”${jboss.server.home.dir}/conf/sdp.keystore” keystorePass=”sdpsecured” sslProtocol = “TLS” />
- نام فایل sdp.keystore را با نام فایل pfx (name.pfx) جایگزین کنید و پس از نام فایل keystoretype=”pkcs12” را وارد کنید. همچنین ‘sdpsecured’ را با کلمه عبور فایل .pfx جایگزین کنید.
- پس از این مراحل باید چیزی شبیه به این داشته باشید:
<!– SSL/TLS Connector configuration using the admin devl guide keystore <Connector port=”8443″ address=”${jboss.bind.address}” maxThreads=”100″ minSpareThreads=”5″ maxSpareThreads=”15″ scheme=”https” secure=”true” clientAuth=”false” keystoreFile=”${jboss.server.home.dir}/conf/name.pfx” keystoreType=”pkcs12″ keystorePass=”your password” sslProtocol = “TLS” />
- سرویس ManageEngine ServiceDesk Plus را راه اندازی مجدد کنید.