Программы | Скачать | Купить | Документация | Партнерам | Контакты | Форум | Блог
Вы здесь: Главная > Программы > Мониторинг Сети Pro > Документация > Настройка протокола HTTPS для web-сервера

Настройка протокола HTTPS для web-сервера

 

По умолчанию встроенный web-интерфейс программы работает по незащищённому протоколу HTTP. Это значит, что данные, которые пересылаются от встроенного web-сервера к браузеру могут быть перехвачены и без труда просмотрены. Эти данные включают в себя IP, MAC-адреса устройств, названия и расположения коммутаторов, журналы событий программы, параметры проверок и так далее. Если вы работаете с web-интерфейсом программы в защищённой, внутренней сети, где каждый пользователь имеет допуск к этим данным, то вам не о чем беспокоиться.

Однако, если вы хотите подключаться к web-серверу программы через открытые сети (Internet), то вам однозначно нужно использовать защищённый протокол HTTPS для доступа к информации через браузер. Протокол HTTPS подразумевает шифрование пересылаемых от web-сервера к браузеру данных с помощью ключа и сертификата, который выдаётся на домен удостоверяющим центром. Сертификат имеет электронную подпись, которая защищает его от подделки.

 

Работа с web-интерфейсом программы через защищённое соединение с использованием самоподписанного демонстрационного сертификата 10-Strike Software

Web-сервер программы (Jetty) уже сконфигурирован для работы через защищённый протокол HTTPS. По умолчанию, он доступен через порт 8443, который может быть изменён в настройках Jetty: файл настроек etc\jetty-ssl.xml, параметр jetty.ssl.port.

Для того, чтобы перевести сервер Jetty на работу по протоколу HTTPS, откройте каталог c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\, переименуйте файл start-https.ini в start.ini (существующий файл start.ini можно переименовать перед этим в start-http.ini, чтобы сохранить его) и перезапустите службу Jetty Service.

Запустите браузер и введите в адресную строку:

https://localhost:8443/netmonitor/?locale=ru

Поставляемый в комплекте сертификат является самоподписанным, или, другими словами, выпущенным не удостоверяющим центром. Этот демо-сертификат был сгенерирован свободнораспространяемой утилитой openssl.exe с открытым кодом. Этот сертификат предназначен для демонстрации работы встроенного web-интерфейса программы по HTTPS и не должен использоваться в незащищённых сетях, так как он не является безопасным. Однако, если у вас нет собственного сертификата, выпущенного с привязкой к вашему домену и компании, то во внутренних сетях вы можете использовать и этот демо-сертификат. Однако, вам нужно будет добавить его в исключения, разрешив браузеру доверять этому сертификату.

Сделать это очень легко. Когда вы попытаетесь перейти по URL web-интерфейса, то браузер выдаст вам предупреждение о незащищённости соединения. Выполните следующие действия, чтобы обойти это предупреждение и не получать его в дальнейшем (на примере Firefox):

  1. Нажмите кнопку Дополнительно.



  2. Нажмите кнопку Добавить исключение.



  3. В открывшемся диалоге нажмите кнопку Подтвердить исключение безопасности.



После этого браузер продолжит загрузку web-интерфейса и вы сможете работать с ним через шифрованный протокол HTTPS так же, как и в первом случае, когда у вас есть свой сертификат. Но так как браузер не может проверить подлинность установленного сертификата, он будет продолжать считать его небезопасным.

 

! Не используйте демо-сертификат для работы с web-интерфейсом программы в незащищённых сетях (к примеру, через Internet)!

 

 

Установка подписанного сертификата за 10 шагов

Если у вас есть свой сертификат, выданный и подписанный удостоверяющим центром, то вы можете использовать его в программе, выполнив следующие действия:

 

  1. Ваш сертификационный центр должен предоставить вам два файла: подписанный сертификат (.crt) и ключ (.key). Скопируйте их в папку c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\Certificate\ и переименуйте в jetty.crt и jetty.key соответственно. Файл jetty.crt должен быть в формате PEM, то есть выглядеть примерно вот так:

    -----BEGIN CERTIFICATE-----
    MIIDzDCCArQCCQCXtcBm22AETzANBgkqhkiG9w0BAQQF
    MTAtU3RyaWtlIFNvZnR3YXJlMSQwIgYJKoZIhvcNAQkB
    ...
    xEDGxy6A+grWMG7p8Ct/KIIz0dUeoJRw8kQvV/eZsOIB
    560vPhTn6pode036YdDHMQ==
    -----END CERTIFICATE-----



  2. Запустите файл 1_import_crt.bat.
    Задайте пароль для хранилища ключей Jetty и подтвердите его. Запомните или запишите пароль - он будет нужен при дальнейшей настройке.
    На вопрос о доверии к сертификату ответьте "yes". В том же каталоге должен будет появиться новый файл keystore - это и есть хранилище ключей и сертификатов Jetty, в которое уже добавлен ваш сертификат.

     



  3. Теперь необходимо перевести crt и key-файлы в формат PKCS12 перед загрузкой их в созданное хранилище. Для этого запустите файл 2_make_pks.bat. Введите заданный до этого пароль хранилища ключей, подтвердите его. В том же каталоге должен будет появиться новый файл jetty.pkcs12 - объединённый файл ключа и сертификата.

     



  4. Загрузите его в хранилище, запустив файл 3_load_keys.bat. Введите два раза заданный ранее пароль хранилища. В результате выполненной операции должен измениться размер и дата файла keystore в том же каталоге. Этот файл автоматически скопируется в каталог c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\etc\ - убедитесь, что это произошло (по дате файла).

     



  5. Откройте в любом текстовом редакторе файл c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\etc\jetty-ssl-context.xml.
    Найдите строки:

    <Set name="KeyStorePassword">...
    <Set name="KeyManagerPassword">...
    <Set name="TrustStorePassword">    ...

    Они содержат пароль к хранилищу ключей. Пароль хранится в закодированном (обфусцированном) виде: OBF:1kfx1k8c1ym91wn11y0q1vno1v.
    Необходимо заменить существующие пароли на тот, который вы задали при создании хранилища ключей, предварительно так же закодировав его.
  6. Для этого откройте в любом текстовом редакторе файл 4_make_password.bat и замените пароль "netmonitor" на тот, который вы задавали при создании хранилища ключей. Сохраните и запустите файл 4_make_password.bat. Если команда отработает успешно, то вы увидите на экране консоли следующий текст:



  7. Нажмите правой кнопкой на окне консоли и выберите в меню Пометить. Выделите курсором текст, как показано на изображении ниже, и нажмите Enter для копирования пароля в буфер обмена.

     



  8. Вставьте пароль вместо текста в кавычках в перечисленных строках и сохраните файл jetty-ssl-context.xml.
  9. Запустите файл 5_config_and_restart.bat - он подменяет текущий конфигурационный файл запуска Jetty start.ini в каталоге c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\ на файл, с включёнными параметрыми HTTPS и перезапускает службу Jetty.
  10. Запустите браузер и введите в адресную строку: https://localhost:8443/netmonitor/?locale=ru

 

Теперь вы работаете с web-интерфейсом программы через защищённое соединение, о чём свидетельствует значок в адресной строке.

 

Более подробная информация о настройке HTTPS в Jetty: https://wiki.eclipse.org/...

 

Программа работает в среде Windows XP/Vista/7/8.1/10/11, Server 2003/2008/2012/2016/2019/2022. Вы можете скачать и попробовать 30-дневную пробную версию бесплатно.

СКАЧАТЬ ПРОГРАММУ

 

Ссылки по теме: