Avalanche powered by Wavelink
SSL 证书
在以下情况下,应该获取 SSL 证书:
•如果要将 Android 或 iOS 设备连接到 Avalanche,则必须拥有 SSL 证书。连接 iOS 设备同样需要 iOS 设备的 APNS 证书。
•需要保护 Avalanche 控制台(一种 Web 浏览器)和 Avalanche Web 服务器之间的连接时。此步骤为可选步骤。如果 Web 服务器未使用 SSL 证书,那么它会使用未加密的超文本传输协议 (HTTP) 连接到浏览器和设备。
•需要保护 Avalanche 远程控制服务器和远程控制查看器之间的连接时。此步骤为可选步骤。系统会自动使用 PSK 保护服务器与设备之间的连接,不需要 SSL 证书。
使用带有 SSL 证书的 Avalanche 来建立安全连接时,我们强烈建议通过第三方证书颁发机构(例如 Verisign)购买证书。如果在不同的系统上安装 Avalanche Web 服务器、智能设备服务器或远程控制服务器,则需要通配符证书,或者用于每个已安装这些 Avalanche 组件的系统的证书。
这些说明解释如何使用 OpenSSL 操作证书。Ivanti 未在 Avalanche 中包含 OpenSSL。可在 OpenSSL 网站上找到安装文件。如果要使用其他工具,请参考该工具的用户指南,以了解创建证书请求或自签名证书的过程。
有关为 Avalanche 设置 SSL 证书的信息,请参阅以下部分:
这些说明解释如何使用 OpenSSL 生成证书签名请求。Ivanti 未在 Avalanche 中包含 OpenSSL 或未安装 OpenSSL。可通过 OpenSSL 网站找到在 Windows 上运行的 OpenSSL 的版本。
Ivanti 强烈建议使用由证书颁发机构签名的证书。利用类似 Verisign 的证书颁发机构,可以使客户了解您的服务器信息已由可信任的来源验证,并且真实可靠。
Ivanti 建议在实施证书后备份所有证书文件。
要为证书生成私钥:
1.从命令行导航至:
[OpenSSL 安装目录]\bin
2.使用命令:
openssl genrsa -des3 -out privateKey.key 2048
3.在输入 privateKey.key 的通行短语提示符处输入通行短语。出现提示时,再次输入通行短语。通行短语可任意设定,但是应该进行记录,以供今后参阅。
如果收到消息“警告:无法打开配置文件:/usr/local/ssl/openssl.cfg”,则需要设置配置文件位置。在命令提示符中使用以下命令:
set OPENSSL_CONF=[OpenSSL 安装目录]\bin\openssl.cfg
如果 OpenSSL 还是创建了 privateKey.key 文件,则删除该文件。然后重复步骤 2 和 3。
4.使用命令:
openssl req -new -key privateKey.key -out CACert.csr
5.在提示符处输入所有请求的信息。提供计划安装证书的计算机的完全限定域名以用作通用名。使用的域名应该由贵公司所有。如果需要,可添加 DNS 条目以解析此计算机。
生成 CSR 的示例:
国家/地区名称(二位字母代码)[GB]:US
州或省名称(全名)[Some-State]:Utah
所在地名称(例如城市)[Newbury]:Midvale
组织名称(例如公司)[My Company Ltd]:Wavelink Corporation
组织单元名称(例如部门)[]:Engineering
通用名(例如姓名或服务器主机名)[]:avaself.wavelink.com
电子邮件地址 []:[email protected]
请输入以下与证书请求同时发送
的“额外”属性
质询密码 []:avalanche
可选公司名称 []:Wavelink Corporation
后续步骤
向证书颁发机构申请 SSL Web 服务器证书时,需要提交此过程中生成的 CACert.csr 文件。
从证书颁发机构取回证书后,将私钥导入证书文件并将其导出为 PKCS #12 文件。
为了将 SSL 证书用于 Avalanche 控制台、远程控制或智能设备服务器,该证书必须为 PKCS #12 格式,并且包含私钥。即使证书颁发机构提供 .p12 文件,也必须将私钥导入 .p12 文件之后才能在 Avalanche 中使用它。
要将证书导出为 PKCS #12 格式:
1.从命令行导航至:
[OpenSSL 安装目录]\bin
2.使用命令:
openssl pkcs12 -export -out certificate.p12 -inkey privateKey.key -in ca.pem
privateKey.key 是创建的密钥的名称(创建 CSR 前,或生成自签名证书时),ca.pem 是正在转换的证书的名称。
如果向证书颁发机构提交证书签名请求,并且他们返回与证书分离的证书链,则将 -certfile intcert.crt 添加至命令末尾,其中 intcert.crt 是中间证书的名称。
3.输入与私钥相关联的通行短语。使用创建自签名证书中提供的命令创建的自签名证书不会请求通行短语。
4.输入导出密码。再次验证导出密码。
PKCS #12 文件创建在 OpenSSL 安装目录中。
获得 SSL 证书后,使用控制台将其导入 Avalanche,智能设备服务器就可以使用该证书。
证书必须为 PKCS #12 格式。如果证书为另一种格式,请首先将其转换为 PKCS#12 格式。
要完成设置:
1.从 Avalanche 控制台导航至工具 > 系统设置。
2.在“HTTPS 配置”部分中,单击添加。
3.找到 certificate.p12 文件并单击打开。
4.输入与证书关联的通行短语。如果通行短语输入正确,则 SDS 公共地址文本框中会显示通用名。
5.如果证书为通配符证书(在通用名中使用 *),则在 SDS 公共地址文本框中键入服务器地址。
6.单击页面右上角的保存。
7.从“我的企业”执行部署。
设置 APNS 证书、GCM 密钥和 SSL 证书之后,就会启用智能设备与智能设备服务器之间的通信,并且可以注册设备。应该先导入许可证,然后再尝试连接设备。有关授权的信息,请参阅授权。有关连接设备的信息,请参阅将设备连接到 Avalanche 服务器。
拥有 PKCS #12 证书后,便可配置 Avalanche Web 服务器 Tomcat,以使用控制台与 Avalanche 服务器之间的加密流量。这需要修改 server.xml 文件,然后重新启动 Tomcat 服务器。
要为 Tomcat 激活 SSL:
1.导航至
[Avalanche 安装目录]\Wavelink\Avalanche\apache-tomcat-7.0.35\conf
用记事本之类的文本编辑器打开 server.xml 文件。
2.找到
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />
3.删除注释标记 <!-- 和 -->,这样该部分就不会被注释掉。
4.用以下信息替换该部分内容:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:/Program Files/Wavelink/certificate.p12" keystorePass="password" keystoreType="PKCS12" />
此处的 keystoreFile 值是指向证书的路径,而 keystorePass 值是创建证书时输入的密码。在指向证书的路径中,请使用正斜杠。
5.保存对文件的更改后。
6.重新启动 Tomcat 服务。
生成证书、为 Tomcat 激活 SSL,并且重新启动 Tomcat 服务器后,便可通过 HTTPS 连接访问 Web 控制台。
要通过安全连接访问 Web 控制台:
•在浏览器的地址栏中,键入:
https://[Avalanche 的 DNS 名称或 IP 地址]:8443/AvalancheWeb
如果选择使用自签名证书来设置试用环境,请参阅创建自签名证书来了解关于自签名证书的详细信息。Ivanti 强烈建议在生产环境中使用由证书颁发机构提供的证书。
版权 © 2018, Ivanti. 版权所有。
隐私和法律
为证书颁发机构创建证书请求