Avalanche powered by Wavelink
SSL 憑證
對於下列情況,您應該取得 SSL 憑證:
•如果您有要連線到 Avalanche 的 Android 或 iOS 裝置,則必須有 SSL 憑證。連接 iOS 裝置也需要 iOS 裝置的 APNS 憑證。
•如果要保護 Avalanche Console (網頁瀏覽器) 與 Avalanche Web 伺服器之間的連線。此步驟是可選的。如果對於 Web 伺服器不使用 SSL 憑證,則會使用不加密的文字傳輸通訊協定 (HTTP) 連線到瀏覽器和裝置。
•如果要保護 Avalanche 遠端控制伺服器與遠端控制檢視器之間的連線。此步驟是可選的。伺服器與裝置之間的連線將自動使用 PSK 保護,而且不需要 SSL 憑證。
您藉由 SSL 憑證使用 Avalanche 進行安全連線時,我們強烈建議您透過第三方憑證授權單位 (例如 Verisign) 購買憑證。如果您在不同的系統上安裝 Avalanche Web 伺服器、智慧型裝置伺服器或遠端控制伺服器,您需要萬用字元憑證或安裝這些 Avalanche 元件的各個系統適用的憑證。
這些指示說明如何使用 OpenSSL 操作憑證。Ivanti 並未在 Avalanche 中加入 OpenSSL。安裝檔案可以在 OpenSSL 網站找到。如果您要使用不同的工具,請參閱該工具的使用者指南,瞭解建立憑證要求或自我簽名的憑證所進行的程序。
請參閱下列各節,瞭解對於 Avalanche 設定 SSL 的資訊。
這些指示說明如何使用 OpenSSL 產生憑證簽署要求。Ivanti 並未在 Avalanche 中加入 OpenSSL,也不會為您安裝它。您可以透過 OpenSSL 網站找到在 Windows 上執行的 OpenSSL 版本。
Ivanti 強烈建議使用憑證授權單位所簽署的憑證。利用 Verisign 之類的憑證授權單位,告知客戶您的伺服器資訊經過可靠來源的確認,而且真實無誤。
Ivanti 建議您實作憑證後備份所有憑證檔案。
若要產生憑證的私密金鑰:
1.從指令列瀏覽至:
[OpenSSL 安裝目錄]\bin
2.使用指令:
openssl genrsa -des3 -out privateKey.key 2048
3.在輸入 privateKey.key 的複雜密碼提示下,輸入複雜密碼。出現提示時,重新輸入複雜密碼。複雜密碼可以任意設定,不過應該記下,以供日後參考。
如果您看見訊息表示「警告:無法開啟組態檔案:/usr/local/ssl/openssl.cfg」,表示您需要設定組態檔案位置。在命令提示下,使用下列指令:
set OPENSSL_CONF=[OpenSSL installation directory]\bin\openssl.cfg
如果 OpenSSL 仍然建立 privateKey.key 檔案,請將它刪除。然後重複步驟 2 和 3。
4.使用指令:
openssl req -new -key privateKey.key -out CACert.csr
5.在提示下,輸入所有要求的資訊。對於一般名稱,請提供計劃安裝憑證的電腦本身的完整網域名稱。使用的網域名稱應該是您公司本身的名稱。如果需要解析這部電腦,請新增 DNS 項目。
產生 CSR 的範例:
國名 (2 個字母代碼) [GB]:US
州名或省名 (完整名稱) [Some-State]:Utah
地名 (例如,城市) [Newbury]:Midvale
組織名稱 (例如,公司) [My Company Ltd]:Wavelink Corporation
組織單位名稱 (例如,部門) []:Engineering
一般名稱 (例如,您的姓名或伺服器的主機名稱) []:avaself.wavelink.com
電子郵件地址 []:[email protected]
請輸入下列「其他」屬性
連同憑證要求一併傳送
質詢密碼 []: avalanche
選用公司名稱 []:Wavelink Corporation
後續步驟
您向憑證授權單位要求 SSL Web 伺服器憑證時,將需要提交此程序產生的 CACert.csr 檔案。
在您從憑證授權單位取回憑證之後,可將私密金鑰匯入憑證檔並將其匯出為 PKCS #12 檔案。
為了使用 Avalanche 控制台、遠端控制或智慧型裝置伺服器的 SSL 憑證,憑證必須是 PKCS #12 格式,並包含私密金鑰。即使憑證授權單位向您提供 .p12 檔案,您也必須先將私密金鑰匯入 .p12 檔案,才能將該檔案用於 Avalanche。
若要將憑證匯出為 PKCS #12:
1.從指令列瀏覽至:
[OpenSSL 安裝目錄]\bin
2.使用指令:
openssl pkcs12 -export -out certificate.p12 -inkey privateKey.key -in ca.pem
其中 privateKey.key 是您建立的金鑰名稱 (建立 CSR 前或產生自我簽名的憑證時),ca.pem 是您將轉換的憑證名稱。
如果您已經將憑證簽名要求提交到憑證授權單位,而且憑證授權單位送回憑證以外的憑證鏈,請將 -certfile intcert.crt 新增到指令尾端,其中 intcert.crt 是中間過渡憑證的名稱。
3.輸入與私密金鑰相關聯的複雜密碼。使用建立自我簽名的憑證中指定的指令建立的自我簽名憑證將不要求複雜密碼。
4.輸入匯出密碼。再次驗證匯出密碼。
在 OpenSSL 安裝目錄中將建立 PKCS #12 檔案。
取得 SSL 憑證後,請使用控制台將它匯入 Avalanche,以便智慧型裝置能夠使用它。
憑證的格式必須是 PKCS #12。如果憑證使用不同格式,請先將其轉換為 PKCS #12。
若要完成設定:
1.從 Avalanche 控制台中,瀏覽製工具 > 系統設定。
2.在「HTTPS 設定」區段中,按一下新增。
3.尋找 certificate.p12 檔案,並按一下開啟。
4.輸入與憑證相關聯的複雜密碼。正確輸入複雜密碼時,SDS 公用位址文字方塊將顯示一般名稱。
5.如果憑證是萬用字元憑證 (在一般名稱中使用 *),請在 SDS 公用位址文字方塊中輸入伺服器位址。
6.按一下頁面右上方的儲存。
7.從「我的企業」執行部署。
您設定 APNS 憑證、GCM 金鑰和 SSL 憑證後,將啟用智慧型裝置與智慧型裝置伺服器之間的通訊,而且您可以註冊裝置。您應該先匯入授權,再嘗試連接裝置。如需授權的資訊,請參閱授權。如需連接裝置的資訊,請參閱將裝置連線至 Avalanche 伺服器。
您擁有 PKCS #12 憑證之後,即可設定 Avalanche Web 伺服器 Tomcat 使用控制台與 Avalanche 伺服器之間的加密流量。這需要修改 server.xml 檔案,然後重新啟動 Tomcat 伺服器。
若要啟動 SSL for Tomcat:
1.瀏覽至
[Avalanche 安裝目錄]\Wavelink\Avalanche\apache-tomcat-7.0.35\conf
並使用 Notepad 之類的文字編輯器開啟 server.xml 檔案。
2.尋找
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" />
3.移除註解標記 <!-- 和 -->,以便區段被註解去除。
4.取代區段來包含下列資訊:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="C:/Program Files/Wavelink/certificate.p12" keystorePass="password" keystoreType="PKCS12" />
其中 keystoreFile 值是憑證的路徑,keystorePass 值是您建立憑證時輸入的密碼。在憑證的路徑中使用斜線。
5.儲存對檔案所做的變更。
6.重新啟動 Tomcat 服務。
您產生憑證、啟動 SSL for Tomcat 並重新啟動 Tomcat 伺服器後,您就可以透過 HTTPS 連線存取 Web 控制台。
若要透過安全連線存取 Web 控制台:
•在瀏覽器的位址欄位中,輸入:
https://[Avalanche 的 DNS 名稱或 IP 位址]:8443/AvalancheWeb
如果您選擇使用自我簽名的憑證來設定示範環境,請參閱建立自我簽名的憑證瞭解自我簽名的憑證相關的詳細資訊。對於生產環境,Ivanti 強烈建議使用憑證授權單位的憑證。
版權 © 2018, Ivanti. 版權所有。
隱私和法律
建立憑證授權單位的憑證要求