使用 CA CEM 监控安全 Web 应用程序

使用 CA CEM 监控安全 Web 应用程序

该列表显示了设置 CA CEM 以监控使用基于 SSL 的安全机制的 Web 应用程序所涉及的主要任务：

1. 获取您的 Web 服务器的 SSL 私钥。
2. 确保 SSL 私钥位于 PEM 文件中。

   如果需要，转换私钥。

3. 针对 SSL 配置 CA CEM 并将 PEM 文件上传到 CA CEM。
4. 验证使用 SSL 的 CA CEM。

导入和管理 SSL 私钥

CA CEM 支持多个私钥，这样便可使用不同私钥分析各种 HTTPS 服务器的 SSL 流量。 CA CEM 支持 PEM 私钥格式（基于 Apache 和 OpenSSL 的服务器使用该格式）。 Microsoft IIS、SunONE、iPlanet 和 Netscape 使用专用格式，但您可以将这些密钥转换为 CA CEM 所使用的 PEM 文件。 CA CEM 会自动识别对其所捕获的数据进行解密所需的密钥。

用于执行转换的系统上必须提供一个 OpenSSL 版本。 可从 http://www.openssl.org 获得 OpenSSL。

有关如何获取受支持的 Web 服务器的 SSL 私钥的详细信息，请参阅：

• 基于 Apache 或 OpenSSL 的 Web 服务器。
• Microsoft Internet Information Service (IIS)。
• SunONE、iPlanet 或 Netscape 企业服务器。

保存基于 Apache 或 OpenSSL 的 Web 服务器私钥文件

您可以保存基于 Apache 或 OpenSSL 的 Web 服务器私钥文件，以便可与 CA CEM 一起使用。

请执行以下步骤：

1. 找到服务器的配置文件。 例如：

   /etc/httpd/conf.d/ssl.conf
   

2. 查找 SSL 证书密钥文件，其指向私钥文件。 例如：

   SSLCertificateKeyFile=/etc/httpd/conf/ssl.key/server.key
   

3. 复制并将该文件重命名为 output.pem。

有关详细信息，请参阅：http://httpd.apache.org/ 和 http://www.openssl.org/

导出并转换 Microsoft Internet Information Service (IIS) 私钥

Microsoft Internet Information Service (IIS) 私钥必须导出为 CA CEM 可读取的格式。 此格式为 PFX。 用于执行转换的系统上必须提供一个 OpenSSL 版本。 您可以从 http://www.openssl.org/ 获取 OpenSSL。

首先，从 IIS 服务器导出私钥，然后将输出文件转换为 PEM 格式。

以 PFX 格式导出密钥：

1. 在运行 IIS 的基于 Windows 的系统上，单击“开始”，然后单击“运行”。
2. 键入 MMC.exe 并单击“确定”。
3. 单击“控制台”菜单，然后单击“添加/删除管理单元”。
4. 单击“添加”。 选择“证书”管理单元，然后单击“添加”。
5. 选择“计算机帐户”并单击“下一步”。
6. 选择“本地计算机”并单击“确定”。
7. 单击“关闭”，然后单击“确定”。
8. 展开“证书”菜单，然后单击“个人”文件夹。 右键单击要导出的证书并选择“所有任务”>“导出”。

   此时将显示向导。

9. 要包含私钥并继续完成向导直到获得 PFX 文件为止，请选择该框。

将 PFX 文件转换为 PEM 密钥文件：

1. 在运行 OpenSSL 软件的系统上执行以下命令。

   openssl pkcs12 –in filename.pfx –nocerts –out output.pem
   

2. 将 filename.pfx 替换为您创建的文件的名称。
3. 将 output.pem 替换为您正在创建的输出文件的名称。
4. 执行该命令。

在创建该 PEM 文件时指定的密码是您将该文件上传至 TIM 时所用的密码短语。

SunONE、iPlanet 或 Netscape 企业服务器

Sun、SunONE、iPlanet 和 Netscape Web 服务器全都基于相同的核心技术。 它们的私钥必须导出为 CA CEM 可读取的格式。

用于执行转换的系统上必须提供以下实用工具：

• OpenSSL
• Network Security Services (NSS)
• Netscape Portable Runtime (NSPR)

以下步骤假定某个 Windows 系统将用于转换。

创建私钥文件：

1. 下载并解压密钥管理实用工具：
   • 可从 http://www.openssl.org 获得 OpenSSL
   • Network Security Services (NSS) 可从 http://www.mozilla.org/projects/security/pki/nss/ 获得
   • Netscape Portable Runtime (NSPR) 可从 http://www.mozilla.org/projects/nspr/ 获得
2. 提取文件。
   • 将 ZIP 文件提取到临时目录中。
   • 将 nss-3.9.zip 提取到 c:\。
   • 将 nspr-4.4.1 提取到 c:\。
3. 适用于 Win32-OpenSSL-v0.9.7c：运行 Win32-OpenSSL-v0.9.7c 并且安装在 C:\OpenSSL 目录中。
4. 修改 PATH 变量，以便它包括下列行：

   c:\nss-3.9\lib;c:\nspr-4.4.1\lib
   

   SunONE/iPlanet/Netscape 证书和密钥存储在扩展名为 .db 的文件中。

5. 将 *.db 文件复制到可写目录（在本例中，该目录为 c:\dbfiles）。
6. 打开命令提示符并键入：

   cd c:\nss-3.9\bin
   

   默认情况下，NSS 工具查找名为 key3.db 和 cert7.db 的文件。 如果您的数据库文件命名为 key3.db 和 cert7.db 之外的其他名称，请不要重命名这些文件。 为了让 certutil 和 pk12util 查找不合命名惯例的文件，请提供 -P （前缀）开关。

   例如，如果您的文件命名为 prodSite-cert.db 和 prodSite-key.db，请使用 certutil 命令创建文件 prodSite-cert7.db 和 prodSite-key3.db。 该命令的输出显示已包含的证书名称：

   certutil -P prodSite- -K –d C:\dbfiles\
   

7. 输入 NSS 证书数据库的密码或 PIN：（输入数据库密码）。

   创建了文件 prodSite-cert7.db 和 prodSite-key3.db。

执行导出和转换：

1. 在提示符下，键入：

   pk12util -P prodSite- -d C:\dbfiles\ -o C:\dbfiles\output.p12 –n Server-Cert
   

2. 输入 NSS 证书数据库的密码或 PIN：（输入数据库密码）。
3. 输入 PKCS12 文件的密码：（输入输出密码）。
4. 重新输入密码：（重新输入输出密码）。

   现在 C:\dbfiles 目录中包含文件名 output.p12。

   输出密码是将该文件上传至企业管理器时所需的密码短语。

5. 在 OpenSSL\bin 目录中，运行以下命令：

   openssl pkcs12 –in C:\dbfiles\output.p12 -nodes –out C:\dbfiles\pkcs12out.txt
   

   该命令将 pkcs12 结构转换为包含 MAC 和包信息的文本文件。 它还创建私钥和证书的 PEM 文件。

   pkcs12out.txt 文件的内容与下面的示例类似：

   Enter Import Password:
   MAC verified OK
   Bag Attributes
   localKeyID: 01 00 00 00
   1.3.6.1.4.1.311.17.1: Microsoft Enhanced Cryptographic Provider v1.0
   friendlyName: 98849c683ad0e90810a77235bd728b12_668b93c6-0795-
   4ba7-9da8-78737a299d3f
   Key Attributes
   X509v3 Key Usage: 10
   -----BEGIN RSA PRIVATE KEY-----
   MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1
   yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q
   1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB
   AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0
   ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg
   vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+
   gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb
   C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn
   -----END RSA PRIVATE KEY-----
   Bag Attributes
   localKeyID: 01 00 00 00
   subject=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose
   Land/CN=www.megamoose.com
   issuer=/C=US/ST=Utah/L=SLC/O=MooseCo./OU=Moose
   Land/CN=www.megamoose.com
   -----BEGIN CERTIFICATE-----
   MIICgDCCAemgAwIBAgIDBJ3zMA0GCSqGSIb3DQEBBAUAMIGSMQswCQYDVQQGEwJa
   QTEVMBMGA1UECBMMV2VzdGVybiBDYXBlMRIwEAYDVQQHEwlDYXBlIFRvd24xDzAN
   BgNVBAoTBlRoYXd0ZTEdMBsGA1UECxMUQ2VydGlmaWNhdGUgU2VydmljZXMxKDAm
   BgNVBAMTH1BlcnNvbmFsIEZyZWVtYWlsIFJTQSAyMDAwLjguMzAwHhcNMDEwNDE3
   MDAzNzU5WhcNMDIwNDE3MDAzNzU5WjBFMR8wHQYDVQQDExZUaGF3dGUgRnJlZW1h
   aWwgTWVtYmVyMSIwIAYJKoZIhvcNAQkBFhNqbGV2eUBzb25pY3dhbGwuY29tMIGf
   MA0GCSqGSIb3DQEBAQUAA4Ger3DBiQKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ
   Y29tMAwGA1UdEwEB/wQCMAAwDQYJKoZIhvcNAQEEBQADgYEAcHF7eiQDoCQ08snA
   izV22+7FWiEkSR0PLcOFTytyOUJoQ0RLt7SPqKPJ2NswyC0A2nHgnOFL7ImFGiAi
   5Xg9lEAtscgC7ceo0C3GBKorPE8hiqGCuVcClYKLws7yGRWRPTzQp7TemCoAMOcv
   iO/6K6qicSzUpEj7eYqCbogmEYU=
   -----END CERTIFICATE-----
   

6. 复制密钥结构并将其粘贴到扩展名为 PEM 的单独文件（例如，output.pem）中，如该示例所示。

   -----BEGIN RSA PRIVATE KEY-----
   MIICXQIBAAKBgQDLIwhdY7ngYk/AlomX9rqnaZfb8PdJ+Mc6msuRWBUDHeIH2eV1
   yiL7ID/0vkUN6qGnnqVuMQ3kuy7mnN/qSPz37/FKTbwF10QOP2LCZVuhU6SI/90Q
   1rTINqQEPi1hyPV10lDv8Fjevhv80jMD1gvjaCmP84FzcrifyDgHonh4nQIDAQAB
   AoGAUXaJIjqeDjge15MHNuQBUqXr+o4V/ZpA+2WcgXsbYhaX0KI3fRdFFASI4XN0
   ZdpolP7oY/cdF6w5EFsVc64t7dIpD+AineQpGeYJ4WhmBstyVlBShNb9drcCQDFg
   vvcyfmi3tTl3MfecV3WhENU6889iGogbglMMQvqmtOCFDPY7fPM3I38FbEwO3Yu+
   gWEZ/f7DLDdsT7GDKf0CQQDSAqXwTMabqGB6bWxqy6M5lpWBW8YAQAXpKhLILRqb
   C/JxfD63KTN90pegkhEOBn5OdqtqfS4kodv45bHeHYxn
   -----END RSA PRIVATE KEY-----