Cara selamat untuk mendapatkan SpiceWorks - Bagaimana Untuk

Cara selamat untuk mendapatkan SpiceWorks

Menjana sijil dan memaksa HTTPS tanpa memasang peranan atau perisian tambahan. Kami menjalankan Spiceworks pada Windows 2012R2 Core Install of VM dengan hanya perkhidmatan / peranan minimal dipasang - sebagai amalan terbaik di dunia keselamatan. Pertama, saya akan mengkaji semula pos dan kemas kini yang lama berdasarkan cadangan dan tetapan semasa dengan pelepasan Spiceworks semasa. (Disambungkan dalam bahagian rujukan) Kedua, saya akan mengkaji semula cara menggunakan alat yang disertakan tanpa memasang peranan tambahan pada pelayan Spiceworks anda.

10 langkah total

Langkah 1: Spikworks Backup dan exiwsting certificate & key.

A) Jalankan sandaran penuh anda SW Settings
B) Navigasi ke C: Program Files Spiceworks (x86) httpd ssl dan salin fail PEM ke lokasi alternatif.
C) Navigasi ke C: Program Files (x86) Spiceworks httpd conf dan salin fail httpd.conf ke lokasi ganti.

Langkah 2: Sediakan sistem anda

anda boleh menggunakan CERTREQ di sini dan kemudian gunakan CERTUTIL untuk mengeksport PFX dari kedai Sijil, tetapi jika anda mahu lebih banyak kelonggaran atas kunci peribadi anda daripada certreq memberikan anda, gunakan alat baris arahan OpenSSL untuk menghasilkan kunci peribadi anda. Kemudian anda boleh melakukan apa sahaja yang anda mahu dengan mereka tanpa langkah tambahan untuk mengeksportnya dari kedai sijil anda.

Saya akan menggunakan OpenSSL dalam senario ini. Saya menggunakan binari tetingkap dari laman web ini. Win32 OpenSSL v1.0.2h Light https://slproweb.com/products/Win32OpenSSL.html

Semasa Pemasangan, tukar laluan dll ke folder / bin untuk memastikan segala-galanya kemas dan kemas
Selepas pemasangan, tetapkan pembolehubah persekitaran (pemboleh ubah ini dan fail .conf yang hilang adalah sebab-sebab mengapa Spiceworks dibina dalam binary openssl tidak boleh digunakan.
Tetapkan OPENSSL_CONF = C: OpenSSL-Win32 bin openssl.cfg (di mana C: OpenSSL-Win32 ialah direktori pemasangan OpenSSL).

Langkah 3: Menjana Kekunci Utama

OpenSSL menyokong arahan berasingan atau bersatu untuk membuat pasangan kunci dan CSR. Ia juga menyokong penambahan penyulitan kepada kunci. Walau bagaimanapun, apache pada Windows memerlukan dan kunci persendirian yang tidak disulitkan. ----- BEGIN RSA PRIVATE KEY -----
Jalankan arahan berikut untuk menjana keypair.
C:> cd OpenSSL-Win32 bin
C: OpenSSL-Win32 bin> openssl genrsa -out private.key 2048

Langkah 4: Menjana CSR

C: OpenSSL-Win32 bin> openssl req -new -key private.key -out spiceworks.csr
Anda akan diminta memasukkan maklumat yang akan dimasukkan
ke dalam permintaan sijil anda.
Apa yang hendak anda masukkan ialah apa yang dikenali sebagai Nama Terpuji atau DN.
Terdapat beberapa medan tetapi anda boleh meninggalkan beberapa kosong
Untuk sesetengah bidang akan ada nilai lalai,
Jika anda memasukkan '.', Medan akan dibiarkan kosong.
-----
Nama Negara (2 kod huruf) [AU]:
Nama Negeri atau Wilayah (nama penuh) [Beberapa-Negeri]:
Nama Kampung (contohnya bandar) []:
Nama Organisasi (contohnya, syarikat) [Internet Widgits Pty Ltd]:
Nama Unit Organisasi (contohnya, bahagian) []:
Nama Biasa (cth. Pelayan FQDN atau nama anda) []:
Alamat emel []:

Sila masukkan atribut 'tambahan' yang berikut
untuk dihantar dengan permintaan perakuan anda
Kata laluan cabaran []:
Nama syarikat pilihan []:

*** SUBMIT CSR ke CA anda dan tentukan apache jika ditanya.

Langkah 5: Dapatkan Sijil dari CA dan Pasang

*** STOP Perkhidmatan Spiceworks Anda ***

Setiap CA Menyediakan langkah-langkah untuk memasang pensijilan pada apache. Anda mungkin mempunyai pensijilan perantaraan atau ikatan ca yang diperlukan untuk dipasang. Sila rujuk kepada CA untuk arahan pemasangan yang tepat.

Pendek kata, anda akan mahu menyalin anda
(SSLCerticicateKeyFile) private.key ke C: Program Files (x86) Spiceworks httpd ssl ssl-private-key.pem
(SSLCertificateFile) Spiceworks.crt ke C: Program Files (x86) Spiceworks httpd ssl ssl-cert.pem
(SSLCertificateChainFile) ke C: Program Files (x86) Spiceworks httpd ssl ssl-cabundle.pem

Langkah 6: Tukar Tetapan SSL

** Sehingga 7.5.000095 - suite cipher telah berubah. Anda mungkin mahu menukar TLS untuk mengalih keluar 1.0

Kini kami ingin memberitahu Apache apakah protokol SSL yang akan kami terima dan melumpuhkan beberapa ciphers kurang selamat yang boleh digunakan.

Untuk melakukan skrol ini ke bahagian paling bawah fail httpd.conf dan cari bahagian yang bermula dengan:

Di dalam ini sama ada mengulas atau memadam garisan yang bermula dengan "SSLCipherSuite".
Sekarang tambahkan dua baris ini di tempatnya:
SSLProtocol - Semua + TLSv1.1 + TLSv1.2
SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH

Sedikit penyelidikan lanjut membolehkan anda mengedit senarai ini lebih jauh bergantung pada keperluan keselamatan anda. Terutama jika anda mengekalkan sokongan XP atau sokongan pelayar yang lebih lama.

Langkah 7: Tambahkan ca.bundle atau intermediate.pem ke httpd.conf

JIKA ca anda memerlukan sijil perantaraan atau Bundle CA, maka KEEP buka file httpd.conf anda dan tambahkan nama dan jalan nama cabundle.pem
SSLCertificateChainFile "ssl ssl-cabundle.pem" tambahkan akhir seperti itu


SSLEngine pada
SSLOptions + StrictRequire
SSLProtocol - Semua + TLSv1.1 + TLSv1.2
SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH
SSLHonorCipherOrder on
SSLCertificateFile "ssl / ssl-cert.pem"
SSLCertificateKeyFile "ssl / ssl-private-key.pem"
SSLCertificateChainFile "ssl / ssl-cabundle.pem"

Langkah 8: Paksakan semua Sambungan untuk menggunakan SSL

Oleh kerana Spiceworks menggunakan Apache kita boleh memaksa semua sambungan untuk menggunakan SSL dengan melaksanakan aturan penulisan semula URL.

Untuk melakukan ini, kita perlu mengedit fail httpd.conf yang memegang konfigurasi Apache. Ini disimpan dalam folder pemasangan Spiceworks anda di bawah httpd conf.

Tatal ke bawah ke arah akhir fail httpd.conf dan kira-kira talian 123 cari garisan yang mengandungi:

# dokumen ralat

Kemudian di atas baris ini tambahkan yang berikut:


RewriteEngine On
#Force SSL pada semua sambungan
RewriteCond% {HTTPS} dimatikan
RewriteCond% {REMOTE_HOST}! ^ 127 .0 .0 .1
RewriteRule (. *) Https: //% {HTTP_HOST}% {REQUEST_URI}

Langkah 9: Mulakan Semula Perkhidmatan

Langkah 10: 10. Perlukan semula perubahan httpd.conf selepas setiap kemas kini

Malangnya, kemaskini menindih fail httpd.conf dan anda perlu membuat pengubahsuaian selepas setiap kemas kini.