Главная

Saturday, 15 June 2019

NetFlow Analyzer и SSL.


Всем привет.

Была у меня необходимость выполнить перевод доступа к frontend-у NetFlow Analyzer на SSL.

Инструкция разработчика пишет что надо выполнить два шага:
- сгенерировать сертификат server.keystore
- изменить файл  server.conf в том плане чтобы закрыть секцию отвечающую за прослушивание порта 8080 и открыть секцию отвечающую за прослушивание порт 8443.

Так и делаем, не забывая оглядываться.

Инсталлируем JRE если JAVA еще не установлена на сервере NetFlowAnalyzer-а.

С помощью утилиты keytool создаем самоподписанный сертификат для приложения Java. Для этого используется та же команда,  что и для создания новой пары ключей, но с параметром days, задающим срок действия сертификата. Данная команда создаст пару 2048-битных RSA-ключей, действительных на протяжении 365 дней, с указанным псевдонимом в заданном файле ключей (server.jks):

%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA –validity 365  -keystore server.jks

Копируем наш сертификат под именем server.keystore в <NetFlowAnalyzer_Home>/server/default/conf

Далее в файле server.conf находим  секцию «Define a non-SSL Coyote HTTP/1.1 Connector on port 8080» и комментируем всю секцию коннектора

 <!-- Connector URIEncoding="UTF-8"
acceptCount="100"
connectionTimeout="20000"
debug="3"
disableUploadTimeout="true"
enableLookups="false"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
port="8080" redirectPort="8443"/ -->

Далее находим  секцию «Define a SSL Coyote HTTP/1.1 Connector on port 8443» и снимаем комментарий всю секцию коннектора

    <Connector port="8443"
SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false"
compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024"
connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false"
keystoreFile="./conf/server.keystore" keystorePass="Iloveforza"
maxSpareThreads="75" maxThreads="150" minSpareThreads="25"
noCompressionUserAgents="gozilla, traviata"
protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"/>
 

При этом не забываем указать пароль keystorePass который мы указывали при генерации сертификата.

Перезапускаем службу «NetFlow Analyzer».

Теперь frontend нашего NetFlowAnalyzer-a откликается на https://forzaserver:8443

Все.

2 comments:

А что вы думаете по этому поводу?