Você deve obter um certificado SSL para estas situações:
•Se você possui dispositivos Android ou iOS que deseja conectar ao Avalanche, deve ter um certificado SSL. A conexão de dispositivos iOS também requer um certificado APNS para dispositivos iOS.
•Se você deseja proteger a conexão entre o Console Avalanche (um navegador web) e o servidor Web do Avalanche. Este passo é opcional. Se você não usar um certificado SSL para o servidor web, ele se conecta ao navegador e dispositivos usando Protocolo de Transferência de Hipertexto (http), o qual não é criptografado.
•Se você deseja proteger a conexão entre o servidor de Controle Remoto e o visualizador de Controle Remoto do Avalanche. Este passo é opcional. A conexão entre o servidor e dispositivos é automaticamente protegida usando PSK e não requer um certificado SSL.
Quando você usa o Avalanche com um certificado SSL para ter uma conexão segura, recomendamos fortemente que você compre o certificado através de uma autoridade de certificação (como a Verisign). Se você instalar o servidor Web do Avalanche, servidor de dispositivo Inteligente ou servidor de Controle Remoto em sistemas diferentes, você precisa ou um certificado curinga ou um certificado para cada sistema onde os componentes do Avalanche são instalados.
Estas instruções explicam como manipular certificados usando OpenSSL. A Ivanti não inclui o OpenSSL com o Avalanche. Os arquivos de instalação podem ser encontrados no Site do OpenSSL. Se você deseja usar uma ferramenta diferente, consulte o guia de usuário para essa ferramenta para o processo de criação de uma solicitação de certificado ou certificado auto-assinado.
Consulte as seguintes seções para obter informações sobre como configurar os certificados SSL para Avalanche:
Estas instruções explicam como gerar uma solicitação de assinatura do certificado usando OpenSSL. A Ivanti não inclui o OpenSSL com o Avalanche nem instala ele para você. Você pode encontrar uma versão do OpenSSL que executa em Windows através do Site do OpenSSL.
A Ivanti recomenda fortemente o uso de um certificado assinado por uma autoridade de certificação. Utilizando uma autoridade de certificado como Verisign informa os clientes que as informações do servidor foram verificadas por uma fonte confiável e é autêntica.
A Ivanti recomenda que você faça backup de todos os arquivos de certificado depois de implementá-los.
Para gerar uma chave privada para o certificado:
1.De uma linha de comando, navegue até:
[Diretório de instalação do OpenSSL]\bin
2.Usar o comando:
openssl genrsa -des3 -out privateKey.key 2048
3.No prompt Inserir a senha para privateKey.key, digite uma senha. Quando solicitado, digite novamente a senha. A senha é arbitrária, mas deve notar-se para referência futura.
Se você receber uma mensagem que diz "AVISO: não é possível abrir o arquivo de configuração: /usr/local/ssl/openssl.cfg", você precisa definir o local do arquivo de configuração. Na solicitação de comando, use o seguinte comando: set OPENSSL_CONF=[OpenSSL installation directory]\bin\openssl.cfg
Se o OpenSSL criou o arquivo privateKey.key mesmo assim, exclua-o. Então repita os passos 3 e 4.
5.Nos prompts, digite todas as informações solicitadas. Para o Nome Comum, forneça o nome de domínio totalmente qualificado do computador onde você planeja instalar o certificado. O nome de domínio usado deve ser aquele que sua empresa possui. Adicione uma entrada DNS se necessárias para resolver este computador.
Um exemplo de geração de uma CSR:
Nome do País (código de 2 letras) [GB]:EUA Nome de Estado ou Província (nome completo) [Algum-Estado]:Utah Nome da Localidade (por exemplo, cidade) [Newbury]:Midvale Nome da Organização (por exemplo, empresa) [Minha Empresa Ltd]:Wavelink Corporation Nome de Unidade Organizacional (por exemplo, seção) []:Engenharia Nome Comum (por exemplo, o nome ou nome de host do servidor) []:avaself.wavelink.com Endereço de E-mail []:[email protected] Por favor, digite os seguintes atributos “extras” para serem enviados com a solicitação de certificado Uma senha de desafio []: avalanche Um nome de empresa opcional []: Wavelink Corporation
Próximos Passos
Quando você aplica para uma autoridade de certificado de um certificado de servidor web SSL, você precisará enviar o arquivo CACert.csr que é gerado por este processo.
Após receber o certificado de volta da autoridade de certificação, importe a chave privada no arquivo do certificado e exporte-o como um arquivo PKCS #12.
Para usar um certificado SSL para o Console Avalanche, Controle Remoto ou o Servidor de Dispositivo Inteligente, o certificado deve estar no formato PKCS #12 e incluir a chave privada. Mesmo se a autoridade de certificado deu-lhe um arquivo .p12, você deve importar a chave privada para o arquivo .p12 antes que você possa usá-lo com o Avalanche.
Onde privateKey.key é o nome da chave que você criou (antes de criar o CSR ou quando você gerou um certificado autoassinado) e ca.pem é o nome do certificado que você está convertendo.
Se você enviou uma solicitação de assinatura do certificado para a autoridade de certificado e eles enviaram de volta a cadeia de certificados separados pelo certificado, adicione -certfile intcert.crt ao final do comando, onde intcert.crt é o nome do certificado intermediário.
3.Digite a senha associada com a chave privada. Certificados auto-assinados criados usando o comando dado em Criando um Certificado Auto-Assinado não solicitará uma senha.
4.Digite uma senha de exportação. Verificar a senha de exportação novamente.
O arquivo PKCS #12 é criado no diretório de instalação do OpenSSL.
Depois de obter um certificado SSL, importá-lo para Avalanche usando o Console para que o servidor de dispositivo Inteligente possa usá-lo.
O certificado deve estar no formato PKCS #12. Se o certificado estiver em um formato diferente, converta-o primeiro para o formato PKCS #12.
Para concluir a configuração:
1.A partir do Console do Avalanche, navegue até Ferramentas > Configurações do sistema.
2.Na seção de Configuração de HTTPS, clique em Adicionar.
3.Localize o arquivo certificate.p12 e clique em Abrir.
4.Digite a senha associada ao certificado. Quando a senha for inserida corretamente, o Nome Comum é exibido na caixa de texto Endereço Público SDS.
5.Se o certificado é um certificado curinga (usa um * no Nome Comum), digite o endereço do servidor na caixa de texto Endereço Público SDS.
6.Clique em Salvar no canto superior direito da página.
7.Execute uma implantação da Minha Empresa.
Depois que você configurou o certificado APNS, chave GCM e o certificado SSL, a comunicação entre dispositivos Inteligentes e o servidor de dispositivo Inteligente será habilitada e você pode inscrever os dispositivos. Você deve importar as suas licenças antes de tentar conectar os dispositivos. Para obter informações sobre licenciamento, consulte Licenciamento. Para informações sobre como conectar dispositivos, consulte Conectando Dispositivos ao Servidor do Avalanche.
Uma vez que você tem um certificado PKCS #12, você pode configurar o servidor web do Avalanche, Tomcat, a usar criptografar o tráfego entre o Console e o servidor do Avalanche. Isso requer a modificação do arquivo server.xml e, em seguida, reiniciar o servidor Tomcat.
Para ativar o SSL para o Tomcat:
1.Navegar para
[Diretório de instalação do Avalanche]\Wavelink\Avalanche\apache-tomcat-7.0.35\conf
e o abrir o arquivo server.xml com um editor de texto como o Bloco de Notas.
Onde o valor keystoreFile é o caminho para o certificado e o valor de keystorePass é a senha que você inseriu ao criar o certificado. No caminho para o certificado, use barras.
5.Salve as alterações para o arquivo.
6.Reinicie o serviço do Tomcat.
Uma vez que você gerou um certificado, ativou o SSL para Tomcat e reiniciou o servidor Tomcat, você pode acessar o Console Web sobre uma conexão HTTPS.
Para acessar o Console Web sobre uma conexão segura:
•No campo de endereço do seu navegador, digite:
https://[Nome de DNS ou endereço IP do Avalanche]:8443/AvalancheWeb
Se você optar por usar certificados auto-assinados para criar um ambiente de demonstração, consulte Criando um Certificado Auto-Assinado para obter mais informações sobre certificados auto-assinados. No ambiente de produção, a Ivanti recomenda fortemente o uso de um certificado fornecido por uma autoridade de certificação.
Criando uma Solicitação de Certificado de uma Autoridade de Certificado