替换趋势科技服务器深度安全防护系统管理中心 SSL 证书

仅适用于本地趋势科技服务器深度安全防护系统软件安装

趋势科技服务器深度安全防护系统管理中心会为连接客户端、设备、中继和用户 Web 浏览器而创建为期 10 年的自签名证书。但是,对于已添加的安全,可以使用可信证书颁发机构 (CA) 的证书替换此证书。(在趋势科技服务器深度安全防护系统管理中心升级之后会保留此类证书。)

生成后,CA 证书必须导入到趋势科技服务器深度安全防护系统管理中心安装根目录中的 .keystore 中,且使用别名 "tomcat"。之后,趋势科技服务器深度安全防护系统管理中心将使用该证书。

在 Windows 环境中替换 SSL 证书

此过程介绍如何导入 .cer 文件,但您也可以使用同一过程导入 .crt 文件。

  1. 以管理员身份登录到安装了趋势科技服务器深度安全防护系统管理中心的计算机。
  2. 打开命令提示符,然后转至趋势科技服务器深度安全防护系统管理中心的安装目录。缺省安装目录为 C:\Program Files\Trend Micro\Deep Security Manager
  3. 创建名为 Backupkeystore 的新文件夹以用于备份目的:

    mkdir Backupkeystore

  4. .keystore 文件和 configuration.properties 文件复制到上一步中创建的 Backupkeystore 文件夹:

    copy .keystore Backupkeystore

    copy configuration.properties Backupkeystore

  5. 转至 \jre\bin 目录:

    cd jre\bin

  6. 使用以下命令创建新的密钥库:

    keytool -genkey -keyalg RSA -alias tomcat -dname cn=<Deep Security Manager server host name or FQDN> -storepass changeit

    看到 "(RETURN if same as keystore password):" 时,按 Enter 键。存储密码将设置为“changeit”。请记住此密码,因为其他步骤需要它。有关 keytool.exe 的详细信息,请参阅 http://docs.oracle.com/javase/8/docs/technotes/tools/windows/keytool.html

  7. 检查是否在 %userprofile% 下创建了 .keystore 文件。

    dir %userprofile%

  8. 使用以下命令查看新生成的证书:

    keytool -list -v -storepass changeit

  9. 使用以下命令创建证书签名请求 (CSR) 以供 CA 进行签名:

    keytool -certreq -keyalg RSA -alias tomcat -file certrequest.csr -storepass changeit

  10. 将证书导入到相应的密钥库:
    1. .csr 文件发送给 CA 以进行签名。对于返回结果,如果是自签名 CA,则您至少需要收到一个根证书和一个用于趋势科技服务器深度安全防护系统管理中心的服务器证书。否则,您仅需要已签名的服务器证书。您可能还会收到一个或多个中间证书。
    2. 将证书复制到 C:\Program Files\Trend Micro\Deep Security Manager\jre\bin
    3. 导入根证书(如果有):

      keytool -import -alias root -trustcacerts -file root.cer -keystore ..\lib\security\cacerts -storepass changeit

      keytool -import -alias root -trustcacerts -file root.cer -storepass changeit

    4. 如果有中间证书。根据由 CA 提供的顺序逐个导入这些证书。

      keytool -import -alias intermd -trustcacerts -file intermd.cer -keystore ..\lib\security\cacerts -storepass changeit

      keytool -import -alias intermd -trustcacerts -file intermd.cer -storepass changeit

      在本例中,我们将为 intermd.cer 设置别名 "intermd"。每个中间证书都需要一个唯一的别名。可为别名分配任何唯一名称,例如,intermd1、intermd2、依此类推。

    5. 导入服务器证书:

      keytool -import -alias tomcat -trustcacerts -file dsm.cer -keystore ..\lib\security\cacerts -storepass changeit

      keytool -import -alias tomcat -trustcacerts -file dsm.cer -storepass changeit

      看到 "Trust this certificate?[no]:" 时,输入 "yes"。

  11. %userprofile%\.keystore 文件复制到 C:\Program Files\Trend Micro\Deep Security Manager:

    move /Y %userprofile%\.keystore ..\..\

  12. 将密码更新为 C:\Program Files\Trend Micro\Deep Security Manager\configuration.properties 中的 "keystorePass" 的值,例如:

    keystoreFile=C\:\\\\Program Files\\\\Trend Micro\\\\Deep Security Manager\\\\.keystore port=4119

    keystorePass=changeit

    installed=true

    serviceName= Trend Micro Deep Security Manager

  13. 重新启动 Trend Micro Deep Security Manager 服务。

  14. 使用 https://< 趋势科技服务器深度安全防护系统管理中心服务器主机名或 FQDN>:4119 打开趋势科技服务器深度安全防护系统管理中心控制台,并确保未显示任何证书错误消息。<趋势科技服务器深度安全防护系统管理中心服务器主机名或 FQDN> 应与步骤 6 中使用的相同。

在 Linux 环境中替换 SSL 证书

要将 SSL 证书导入到趋势科技服务器深度安全防护系统管理中心,您需要在安装了趋势科技服务器深度安全防护系统管理中心的服务器上执行以下操作:

  1. 将中间 CA 证书和根 CA 证书添加到新的密钥库
  2. 将已签名证书和私钥转换为 PKCS12 格式
  3. 将已签名证书和私钥导入到新的密钥库
  4. 使用新的密钥库更新趋势科技服务器深度安全防护系统管理中心

您将使用以下 4 个文件:

文件名 描述
RootCA.crt 签名者的根 CA 证书。
IntermediateCA.crt 签名者的中间 CA 证书。
ssl-priv.key 用于生成 SSL 证书签名请求的私钥。
FQDN.crt 您所在域的已签名 SSL 证书。

将中间 CA 证书和根 CA 证书添加到新的密钥库

添加证书的过程因根 CA 证书是否已存在于 JAVA 内置 CA 密钥库中而异。

如果根证书未存在于 JAVA 内置 CA 密钥库中:

  1. 将根 CA 证书导入到新的密钥库:

    keytool -import -alias RootCA -trustcacerts -file RootCA.crt -keystore new_keystore

  2. 出现提示时,创建密钥库的密码。
  3. 将中间 CA 证书导入到新的密钥库:

    keytool -import -alias intermediate -trustcacerts -file IntermediateCA.crt -keystore new_keystore

如果根证书已存在于 JAVA 内置 CA 密钥库中:

  1. 将中间 CA 证书导入到新的密钥库:

    keytool -import -alias intermediate -trustcacerts -file IntermediateCA.crt -keystore new_keystore

  2. 出现提示时,创建密钥库的密码。

将已签名证书和私钥转换为 PKCS12 格式

  • 使用 openssl 将已签名证书和私钥转换为 PKCS12 格式:

    openssl pkcs12 -export -in FQDN.crt -inkey ssl-priv.key -certfile FQDN.crt -out FQDN.p12 -name tomcat

将已签名证书和私钥导入到新的密钥库

  1. 将 FQDN.p12 导入到新的密钥库:

    keytool -importkeystore -srckeystore FQDN.p12 -srcstoretype pkcs12 -destkeystore mynew_keystore -destalias tomcat -alias tomcat

  2. 在新的密钥库中,验证 tomcat 条目类型是否为 PrivateKeyEntry,并验证中间 CA 条目类型是否为 trustedCertEntry

    keytool -list -keystore new_keystore

    验证密钥库命令行

使用新的密钥库更新趋势科技服务器深度安全防护系统管理中心

缺省情况下,.keystore 文件和 configuration.properties 文件位于趋势科技服务器深度安全防护系统安装的 /opt/dsm 文件夹中。

  1. 创建 dsm_keystore_bak 目录,并将趋势科技服务器深度安全防护系统管理中心的原始 .keystore 文件和 configuration.properties 文件备份到该目录:

    mkdir dsm_keystore_bak

    cp /opt/dsm/.keystore /opt/dsm/configuration/properties dsm_keystore_bak

  2. 使用新的密钥库文件覆盖趋势科技服务器深度安全防护系统管理中心的 .keystore 文件,并更新 configuration.properties 文件中的 keystorePass

    cp new_keystore /opt/dsm/.keystore

    vim configuration.properties

    keystorekeystorePass=XXXX {replace XXXX with the keystore password you created}

    升级趋势科技服务器深度安全防护系统管理中心时,仅保留缺省密钥库文件 (/opt/dsm/.keystore)。我们建议您替换现有密钥库文件。

  3. 重新启动趋势科技服务器深度安全防护系统管理中心服务。
    趋势科技服务器深度安全防护系统管理中心服务重新启动后,您在第 2 步中向 configuration.properties 文件输入的密钥库密码将会加密,且不再可读为 XXXX。