Acceso Celoxis mediante SSL


Para el propósito de este artículo, asumamos que Celoxisha sido instalado en un servidor Linux en /usr/local/celoxis y se accede a ella como http://celoxis.acme.com:8888

SSL por defecto

Celoxis viene con un certificado SSL autofirmado y accesible en el puerto 8843 como https://celoxis.acme.com:8843. Al acceder a sitios web que sirven certificados SSL autofirmados aparece una advertencia en Chrome y en otros navegadores que indica que el sitio no es seguro. Puedes instalar un certificado de un proveedor conocido como Verisign, Thawte, RapidSSL, etc. para superar este problema.

Instalación de su propio certificado SSL

Cada proveedor viene con sus propias instrucciones. Sin embargo, vamos a ver el escenario más común.

Deténgase Celoxis

DetenteCeloxis, ya que vamos a sobreescribir un archivo.

Go to the <Celoxis-Install-Dir>
$ cd /usr/local/celoxis
Generar un par de claves

Dé la contraseña como celoxis. La razón será evidente al final del capítulo. En lugar de celoxis.acme.com...pondrías tu propio nombre de pila.

$ keytool -genkey -alias celoxis -keyalg RSA -keystore celoxis.jks
Enter keystore password:
Re-enter new password:
What is your first and last name?
  [Unknown]:  celoxis.acme.com
What is the name of your organizational unit?
  [Unknown]:
What is the name of your organization?
  [Unknown]:  Acme
What is the name of your City or Locality?
  [Unknown]:  Santa Clara
What is the name of your State or Province?
  [Unknown]:  CA
What is the two-letter country code for this unit?
  [Unknown]:  US
Is CN=celoxis.acme.com, OU=Unknown, O=Acme, L=Santa Clara, ST=CA, C=US correct?
  [no]:  yes

Enter key password for 
    (RETURN if same as keystore password):
$
Generar una solicitud de certificado (CSR)

Generaremos el CSR en un archivo certreq.csr.

$ keytool -certreq -keyalg RSA -alias celoxis -file certreq.csr -keystore celoxis.jks
Enter keystore password:
$
Lista de los archivos...

Tenemos los dos archivos esperados.

$ ls
celoxis.jks certreq.csr
$
Obtén el certificado SSL

Ahora iría a uno de los emisores de certificados SSL como Verisign, RapidSSL, GeoTrust, etc. y utilizaría el certreq.csr archivo para solicitar y el certificado SSL. Se asegurarán de que usted es el propietario del dominio que ha solicitado y le expedirán un certificado.

Obtendrías dos archivos en formato PEM. Uno será su certificado y el otro su cadena al certificado de CA.

Supongamos que la cadena está disponible en el archivo chain.crt y su certificado en certificate.crt.

Copy these two files to <Celoxis-Install-Dir>.

Importar los dos archivos a nuestro almacén de llaves
$ keytool -import -trustcacerts -alias intermediate -file chain.crt -keystore celoxis.jks
Enter keystore password:
$
keytool -import -trustcacerts -alias celoxis -file certificate.crt -keystore celoxis.jks
Enter keystore password:
$

¡Nuestra tienda de llaves ya está lista!

Sobrescribir Celoxisla tienda de llaves con nuestra tienda de llaves
$ cp celoxis.jks /usr/local/celoxis/psa_14.5.x/.keystore
$
Cambiar 8843 a 443 (el puerto SSL por defecto)

Abrir <Celoxis-Install-Dir>/psa_14.5.x/conf/server.xml y cambiar el número de puerto como se muestra de izquierda a derecha.

<Connector port="8843"
...
   scheme="https"
   secure="true"
   keystoreFile=".keystore"
   keystorePass="celoxis"
...
/>
<Connector port="443"
...
   scheme="https"
   secure="true"
   keystoreFile=".keystore"
   keystorePass="celoxis"
...
/>
Inicio Celoxis

Inicio Celoxis y apunta tu navegador a https://celoxis.acme.com. Debería ser llevado a la Celoxispantalla de acceso.