Configurar HTTPS no Console de administração ou no OC (certificado assinado por autoridade)

uim203
Este artigo descreve como configurar uma conexão SSL (Secure Sockets Layer) para acessar o Console do operador ou o Console de administração usando HTTPS. Ele fornece instruções para configurar um certificado assinado por autoridades.
Índice
Recomendamos consultar os engenheiros de segurança de rede e os especialistas em conformidade para se informar sobre os requisitos de segurança específicos. Em geral, os requisitos de segurança padrão do setor exigem o uso de criptografia SSL para a comunicação cliente-servidor por meio de uma rede não confiável. Isso inclui as seguintes situações:
  • Se os usuários acessarem o Console do operador ou o Console de administração por meio de uma rede pública, como a internet
  • Se as sessões atravessarem uma parte insegura da rede, como redes sem fio em salas de reunião ou em áreas de acesso público
  • Se as sessões atravessarem redes móveis
Para ambientes de alta segurança, é recomendável usar ao menos a criptografia de 2048 bits. Entretanto, o uso de chaves de RSA mais longas afeta significativamente a velocidade de criptografia e decodificação.
Pré-requisitos
Verifique os pré-requisitos a seguir antes de continuar:
  • Você não é um usuário administrativo com acesso ao Gerenciador de infraestrutura.
  • O ambiente está configurado para executar comandos keytool se você pretender usar um certificado diferente de um certificado autoassinado de 1024 bits. Isso significa que a variável de sistema $PATH inclui um caminho para o java.exe e para keytool.
  • Devido às políticas de segurança de alguns sistemas operacionais, talvez seja necessário executar os comandos keytool como administrador.
    Se a execução de comandos keytool fornecer resultados inesperados em sistemas Windows, use a opção
    Executar como administrador
    .
Redirecionamento HTTPS e o Console de administração
O Console de administração não oferece suporte ao uso de um redirecionamento HTTPS. É necessário acessar o Console de administração diretamente usando o URL
HTTPS://
. Também é possível desativar a porta HTTP para o Console de administração.
Você também pode alterar a configuração do wasp usando o Console de administração. No entanto, você será desconectado automaticamente do Console de administração quando o wasp for reiniciado.
Siga estas etapas:
  1. Use a Área de trabalho remota para se conectar ao servidor do UIM ou do OC.
  2. Abra o Gerenciador de infraestrutura.
  3. Navegue até o robô que estiver executando o probe wasp.
  4. Pressione a tecla Ctrl enquanto clica com o botão direito do mouse no probe wasp e, em seguida, selecione
    Configuração de dados brutos
    .
  5. Com a seção de
    configuração
    realçada, selecione a chave
    http_port
    e clique em
    Excluir chave
    .
Implementar um Certificado SSL assinado por autoridades
Esta seção contém informações sobre como implementar um certificado SSL assinado por autoridades:
Certificados raiz, intermediários e de entidade
Diversas autoridades de certificação emitem certificados
encadeados
ou intermediários. Se a sua autoridade de certificação emitir certificados encadeados, você receberá normalmente os arquivos de certificados a seguir:
  • Um certificado de
    entidade
  • Um ou mais certificados
    intermediários
  • Um certificado raiz pode ser incluído
Deve-se fazer o upload do certificado de entidade e de quaisquer certificados intermediários que a autoridade de certificação forneça. Pode não ser necessário fazer upload de um certificado raiz. Isso ocorre porque a instalação do UIM instala automaticamente um JRE (Java Runtime Environment - Ambiente de Execução Java), que contém os certificados raiz de várias autoridades de certificação. No entanto, a autoridade de certificação pode fornecer um novo certificado raiz e aconselhar a carregá-lo.
É possível exibir os certificados raiz instalados automaticamente com o JRE durante a instalação do UIM.
Siga estas etapas:
  1. Abra um prompt de comando de administrador no servidor que estiver executando o OC.
  2. Altere os diretórios como a seguir:
    cd <pasta de instalação do servidor do
    OC ou do UIM 
    >/jre/<
    jre_version
    >/lib/security
  3. Emita o comando a seguir:
    <Pasta de instalação do servidor do
    OC ou do UIM 
    >/jre/<
    versão_do_jre
    >/bin/keytool keytool -list -keystore cacerts
    O sistema solicitará que você digite a senha do keystore. Depois da inserção de uma senha válida, o sistema exibe os certificados raiz padrão no arquivo cacerts.
Modificar o wasp para usar HTTPS
Se você estiver configurando o HTTPS para o Console do operador, modifique o probe wasp no servidor do OC. Se você estiver configurando o HTTPS para o Console de administração, modifique o probe wasp no servidor do UIM.
Independentemente do certificado que deseje implementar, a primeira etapa necessária é modificar o arquivo wasp.cfg para ativar o HTTPS. Quando essa alteração entra em vigor, ocorre o seguinte:
  • O arquivo wasp.keystore, um arquivo criptografado que armazena os certificados, é gerado no diretório
    <pasta de instalação do servidor do OC ou do UIM>/UIM/probes/service/wasp/conf
  • Um certificado autoassinado de 1024 bits é automaticamente gerado no wasp.keystore
É preciso substituir o certificado autoassinado de 1024 bits gerado automaticamente pelo certificado que você deseja usar.
Siga estas etapas:
  1. Use a área de trabalho remota para conectar-se ao servidor do UIM.
  2. Abra o Gerenciador de infraestrutura.
  3. Vá até o servidor que executa o probe wasp.
  4. Pressione a tecla Ctrl enquanto clica com o botão direito do mouse no probe wasp e, em seguida, selecione
    Configuração de dados brutos
    .
  5. Com a seção de
    configuração
    realçada, localize a chave
    https_port
    e clique em
    Editar chave
    para especificar uma porta. Se necessário, clique em
    Nova chave
    e insira
    https_port
    .
    O valor máximo de porta que é possível definir é 65535.
  6. Edite a chave
    https_max_threads
    para configurar o número de solicitações https simultâneas. O valor padrão é 500.
    Depois que o probe wasp for reiniciado, o wasp será configurado para usar uma conexão HTTPS e o arquivo wasp.keystore será gerado. Esse arquivo se encontra em <início_nimsoft>\probes\service\wasp\conf\wasp.keystore.
(Opcional) Alterar as codificações HTTPS
Se necessário, é possível personalizar a lista de codificações usadas pelo probe wasp.
Siga estas etapas:
  1. Vá para o sistema em que o wasp está instalado.
  2. Vá para o arquivo
    wasp.cfg
    no seguinte local:
    <Pasta de instalação do servidor do OC ou do UIM>\Nimsoft\probes\service\wasp\wasp.cfg
  3. Abra o arquivo
    wasp.cfg
    em um editor de texto.
  4. Localize a chave
    https_ciphers
    . Por padrão, a chave https_ciphers lista vários valores.
  5. Altere a chave https_ciphers para usar as codificações desejadas. Consulte a documentação de SSL para obter uma lista dos pacotes de codificações disponíveis.
  6. Reinicie o probe wasp.
Reinicializar o wasp.keystore
Execute as seguintes etapas
somente
se não estiver usando um certificado autoassinado de 1024 bits e
pelo menos uma destas afirmações for verdadeira
:
  • Você não sabe a senha do wasp.keystore.
  • Esta é a
    primeira vez que você está
    configurando o Console do operador para usar HTTPS.
Se nenhuma das afirmativas acima for verdadeira, consulte a seção Wasp e o retorno de chamada ssl_reintialize_keystore antes de continuar.
Você deve configurar os probes wasp associados para que o Console de administração e o Console do operador configurem o HTTPS totalmente.  O probe wasp é um servidor web incorporado executado como um probe.
Se você estiver executando os servidores do UIM e do OC no mesmo sistema, apenas o probe wasp deverá ser configurado para ativar o HTTPS no Console de administração e no Console do operador.
Além disso, você deve inserir uma senha válida para o wasp.keystore.
No entanto, o wasp.keystore tem uma
senha
embutida e desconhecida.
Portanto, a primeira vez em que o wasp for configurado para HTTPS, recomenda-se a execução do retorno de chamada
ssl_reinitialize_keystore
e a definição de uma nova senha.
O retorno de chamada
ssl_reinitialize_keystore
recria o wasp.keystore e sua senha de hash. Ao executar esse retorno de chamada, insira uma nova senha como um argumento e, em seguida,
armazene de maneira segura a nova senha para uso futuro
. Se essa senha for perdida ou esquecida, a única maneira de redefini-la é reinicializando o wasp.keystore novamente.
Tenha
cuidado
com o retorno de chamada ssl_reinitialize_keystore. Esse retorno de chamada alterará o hash de criptografia do wasp.keystore e
invalidará todos os certificados que estiverem em uso no momento
. Por esse motivo, é altamente recomendável que seja feito um backup individual dos arquivos de chave e de certificado, de modo que, se o keystore tiver de ser reinicializado, seja possível recarregar as chaves e os certificados para o novo keystore.
Além disso, não use o utilitário keytool para alterar a senha do wasp.keystore, já que o wasp não reconhecerá a nova senha.Atualmente, a
única forma
de alterar a senha do wasp.keystore é usando o retorno de chamada ssl_reinitialize_keystore.
Siga estas etapas:
  1. Abra o Gerenciador de infraestrutura.
  2. Vá até o servidor que executa o probe wasp.
  3. Clique no probe wasp para realçá-lo.
  4. Pressione Ctrl+<P> para abrir o utilitário do probe.
  5. Na lista suspensa, em
    Conjunto de comandos do probe
    , selecione
    ssl_reinitialize_keystore
    .
  6. Insira uma nova senha como um argumento.
    Use uma senha com pelo menos seis caracteres. O utilitário do probe wasp não impedirá o uso de uma senha mais curta, mas não será possível fazer alterações no arquivo wasp.keystore como descrito mais adiante.
  7. Clique no botão de reprodução verde para executar o retorno de chamada.
    A barra de status
    Comando
    exibe o texto
    OK
    .
  8. Registre de maneira segura a senha definida para uso futuro.
Gerar um par de chaves públicas e privadas
Siga estas etapas:
  1. Abra um prompt de comando de administrador no servidor que está executando o wasp.
    Execute os comandos keytool a seguir no mesmo diretório em que o arquivo wasp.keystore estiver, geralmente <
    pasta de instalação do servidor do OC ou do UIM
    >/probes/service/wasp/conf. O utilitário keytool está no diretório em que o JRE reside, em geral <
    pasta de instalação do servidor do OC ou do UIM
    >/jre/<
    versão_do_jre
    >/bin/keytool.
  2. Defina as variáveis de ambiente JAVA_HOME da seguinte maneira:
    <
    Pasta de instalação do servidor do OC ou do UIM 
    >/jre/<
    versão_do_jre
    >/bin/
  3. Verifique se você tem uma senha válida para o arquivo wasp.keystore:
    <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf> keytool -list -keystore wasp.keystore
    Você receberá uma mensagem de confirmação, "Your keystore contains 1 entry."
  4. Exclua a chave particular gerada automaticamente:
    <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf> keytool -delete -alias wasp -keystore wasp.keystore
  5. Verifique se a chave foi excluída:
    <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf> keytool -list -keystore wasp.keystore
    Você receberá uma mensagem de confirmação, "Your keystore contains 0 entries."
  6. Gere o par de chaves públicas e particulares com o tamanho de chave necessário:
    <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf> keytool -genkeypair -alias wasp -keyalg RSA -keysize <
    tamanho_da_chave
    > -keystore wasp.keystore -validity <
    dias_de_validade_do_certificado
    >
  7. Quando o primeiro e o último nome forem solicitados, insira o FQDN.
  8. Quando solicitado, forneça as entradas para os seguintes campos:
    • Unidade organizacional
    • Organização
    • Cidade ou localidade
    • Estado ou província
    • Código do país com duas letras
    Você será solicitado a confirmar que as informações inseridas estão corretas.
Registrar informações do certificado
Siga estas etapas:
  1. Registre de maneira segura a nova senha definida para o arquivo wasp.keystore.
  2. Certifique-se de registrar o período de validade definido para o certificado.
  3. Faça backup dos arquivos de certificado em um local seguro.
Gerar e enviar uma CSR
Para um certificado curinga, digite
<seu_domínio>.csr
como o último argumento desse comando.
Siga estas etapas:
  1. Gere uma CSR (Certificate Signing Request - Solicitação de assinatura de certificado).
    <Pasta de instalação do servidor do OC ou do UIM >/jre/<versão_do_jre>/bin/keytool -certreq -alias wasp -validity <dias_de_validade_do_certificado> -keystore <pasta de instalação do servidor do OC ou do UIM >Nimsoft/probes/service/wasp/conf/wasp.keystore -file <seu_domínio>.csr
    A CSR é criada com as chaves públicas que são geradas usando o algoritmo de chave RSA. Portanto, os certificados da autoridade de certificação devem ser criados com a opção de criptografia de codificação de chave ("Allows key exchange only with key encryption").
  2. (Opcional)
    Crie uma cópia de backup do wasp.keystore. Essa etapa não é obrigatória, mas é altamente recomendada. Caso um problema seja encontrado posteriormente neste procedimento, uma cópia de backup do arquivo wasp.keystore evitará a necessidade de repetir as etapas anteriores.
  3. Envie a CSR para a autoridade de certificação:
    1. Cole a CSR no formulário web da autoridade de certificação.
    2. Remova quaisquer caracteres antes de
      ----INICIAR SOLICITAÇÃO DE CERTIFICADO
      e depois de
      TERMINAR SOLICITAÇÃO DE CERTIFICADO----.
Importar certificados
Todas as entradas do repositório de chaves devem usar um alias exclusivo. Deve-se usar o alias do wasp para o certificado assinado ou de entidade. Se a autoridade de certificação fornecer vários certificados intermediários, cada certificado intermediário também deverá usar um alias exclusivo.
Siga estas etapas:
  1. Abra um prompt de comando de administrador no servidor que estiver executando o OC.
    Execute os comandos keytool a seguir no mesmo diretório em que o arquivo wasp.keystore estiver, geralmente <
    pasta de instalação do servidor do OC ou do UIM
    >/probes/service/wasp/conf. O utilitário keytool está no diretório em que o JRE reside, em geral <
    pasta de instalação do servidor do OC ou do UIM
    >/jre/<
    versão_do_jre
    >/bin/keytool.
  2. Se a sua autoridade de certificação tiver fornecido um certificado raiz, importe o certificado raiz:
    <
    Pasta de instalação do servidor do OC ou do UIM 
    >/jre/<
    versão_do_jre
    >/bin/keytool -import -trustcacerts -alias <
    certificado_raiz
    > -file  <
    certificado_raiz
    >.cer -keystore <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  3. Importe o certificado intermediário:
    <
    Pasta de instalação do servidor do OC ou do UIM 
    >/jre/<
    versão_do_jre
    >/bin/keytool -import -trustcacerts -alias <
    primeiro_certificado_intermediário
    > -file <
    primeiro_certificado_intermediário
    >.cer -keystore <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  4. Repita a etapa anterior conforme necessário para outros certificados intermediários.
  5. Importe o certificado assinado. Este é o certificado da entidade, se tiver recebido um certificado encadeado:
    <
    Pasta de instalação do servidor do OC ou do UIM 
    >/jre/<
    versão_do_jre
    >/bin/keytool  -import  -trustcacerts  -alias wasp  -file <
    seu_domínio
    >.crt  -keystore <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  6. Clique em
    yes
    no prompt
    Existing entry alias wasp exists, overwrite?
  7. Emita o comando a seguir para verificar se o arquivo wasp.keystore foi atualizado:
    <
    Pasta de instalação do servidor do OC ou do UIM 
    >/jre/<versão_do_jre>/bin/keytool -list -keystore <
    pasta de instalação do servidor do OC ou do UIM 
    >Nimsoft/probes/service/wasp/conf/wasp.keystore
  8. Reinicie o probe wasp.
Testar a conexão HTTPS
Os certificados autoassinados podem causar alguns erros ou notificações do navegador, como "Sua conexão não é particular" ou "A identidade deste site não foi verificada". Essas são mensagens normais e podem ser evitadas por meio da importação do certificado para o navegador (embora nem todos os navegadores permitam isso). Para evitar essas mensagens completamente, você deve usar o certificado de uma autoridade de certificação.
Siga estas etapas:
  1. Abra um navegador compatível.
  2. Digite https:// seguido pelo URL do Console do operador ou do Console de administração.
A página de logon será exibida se a configuração do wasp tiver sido modificada corretamente para usar HTTPS.
Observação:
você pode clicar no ícone de bloqueio à esquerda do URL na janela de endereço do navegador para exibir informações sobre a conexão.
(Somente Console do operador) Definir o redirecionamento automático de HTTP para HTTPS
Você poderá definir o redirecionamento automático de HTTP para HTTPS seguindo este procedimento.
Siga estas etapas:
  1. Pesquise os arquivos
    WEB-INF/web.xml
    na
    <pasta de instalação do servidor do OC ou do UIM>/Nimsoft/probes/service/wasp/webapps/
    e abra os arquivos para edição.
  2. Localize o seguinte conteúdo:
    <security-constraint> <web-resource-collection> <web-resource-name>un restricted methods</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint>
  3. Substitua
    <transport-guarantee>NONE</transport-guarantee>
    por
    <transport-guarantee>CONFIDENTIAL</transport-guarantee>
    .
  4. Salve os arquivos web.xml.
  5. Abra o seguinte arquivo para edição:
    <OC or UIM server_Installation>\Nimsoft\probes\service\wasp\wasp.cfg
  6. Adicione as seguintes linhas antes de
    </setup>
    :
    <http_connector> redirectPort=<desired port></http_connector>
    sendo que
    <porta desejável>
    corresponde à chave https_port definida na subseção Modificar o wasp para usar HTTPS. 
    Certifique-se de incluir o código de redirecionamento na seção
    <setup>
    .
  7. Salve o arquivo wasp.cfg.
  8. Reinicie o probe wasp.
O modo dual (ou seja, HTTP e HTTPS) não é permitido. Os administradores podem configurar apenas HTTP, apenas HTTPS ou o redirecionamento de HTTP para HTTPS.
Definir/ativar o sinalizador de segurança para o cookie
Você pode definir/ativar um sinalizador de segurança para os cookies no Console de administração e no OC:
Definir/ativar o sinalizador de segurança para o cookie no Console de administração
Para definir/ativar o sinalizador de segurança para o cookie no Console de administração.
Siga estas etapas:
  1. Abra o seguinte arquivo para edição:
    <Pasta de instalação do servidor do UIM>/Nimsoft/probes/service/wasp/webapps/adminconsoleapp/WEB-INF/web.xml.
  2. Remover o comentário do sinalizador  < secure>
    <session-config> <session-timeout>1</session-timeout> <cookie-config> <http-only>true</http-only> <!--<secure>true</secure>--> </cookie-config> </session-config>
Definir/ativar o sinalizador de segurança para o cookie no Console do operador
Para definir/ativar o sinalizador de segurança para o cookie no Console do operador.
Siga estas etapas:
  1. Abra o seguinte arquivo para edição:
    <OC>/Nimsoft/probes/service/wasp/webapps/ROOT/WEB-INF/web.xml.
  2. Remover o comentário do sinalizador  < secure>
    <session-config> <session-timeout>1</session-timeout> <cookie-config> <http-only>true</http-only> <!--<secure>true</secure>--> </cookie-config> </session-config>
Atualizar os valores de cabeçalho Expect-CT
Você pode atualizar os valores do cabeçalho Expect-CT no Console de administração e no OC:
Atualizar os valores do cabeçalho Expect-CT no Console de administração
Por padrão, o cabeçalho Expect-CT fica definido como “enforce, max-age=300”, para alterar os valores ou adicionar report-uri.
Siga estas etapas:
  1. Vá para o arquivo
    wasp.cfg
    no seguinte local:
    <Pasta de instalação do servidor do UIM>\Nimsoft\probes\service\wasp\wasp.cfg
  2. Abra o arquivo
    wasp.cfg
    em um editor de texto.
  3. Na seção webapps\adminconsole, adicione ou edite os atributos de configuração na propriedade Expect-CT-Header, conforme mostrado abaixo
    Expect-CT-Header = enforce, max-age=300
  4. Reinicie o wasp.
Atualizar os valores do cabeçalho Expect-CT no Console do operador
Por padrão, o cabeçalho Expect-CT fica definido como “enforce, max-age=300”, para alterar os valores ou adicionar report-uri no Console do operador.
Siga estas etapas:
  1. Vá para o arquivo
    wasp.cfg
    no seguinte local:
    <Pasta de instalação do servidor do OC>\Nimsoft\probes\service\wasp\wasp.cfg
  2. Abra o arquivo
    wasp.cfg
    em um editor de texto.
  3. Na seção webapps\operatorconsole_portlet\custom\uncrypted, adicione ou edite os atributos de configuração na propriedade Expect-CT-Header, conforme mostrado abaixo
    Expect-CT-Header = enforce, max-age=300
  4. Reinicie o wasp.
(Opcional) Acessar o CABI Server
Será necessária uma configuração adicional se você estiver usando os painéis do CABI para UIM. Para obter mais informações, consulte a seção (Opcional) Acessar servidor do CABI com HTTPS em CA Business Intelligence com o CA UIM.
O UIM 20.3.3 eliminou a dependência do CABI (CA Business Intelligence) para o processamento das telas do OC nativo: página inicial, página de exibição de grupos, página de exibição de dispositivos e página de exibição de tecnologias de monitoramento (probes). Os painéis e relatórios personalizados e prontos para uso ainda são processados por meio do CABI, ou seja, eles dependem do CABI. Contudo, as telas do console do operador nativo não dependem mais do CABI (Jaspersoft) e são processadas por meio de HTML5. Para obter mais informações sobre as telas do OC nativo que usam HTML5, consulte o artigo Configurando e exibindo dados de monitoramento ou a seção Removendo a dependência do CABI (Console do operador nativo) do artigo UIM 20.3.3.