Cara aman untuk mengamankan SpiceWorks - Bagaimana-Untuk

Cara aman untuk mengamankan SpiceWorks

Hasilkan sertifikat dan paksa HTTPS tanpa menginstal peran atau perangkat lunak tambahan. Kami menjalankan Spiceworks pada Instalasi Inti Windows 2012R2 dari VM dengan hanya layanan / peran minimal yang diinstal - seperti praktik terbaik di dunia keamanan. Pertama, saya akan meninjau posting lama dan memperbarui berdasarkan rekomendasi dan pengaturan saat ini dengan rilis Spiceworks saat ini. (Ditautkan di bagian referensi) Kedua, saya akan meninjau cara menggunakan alat yang disertakan tanpa menginstal peran tambahan di server Spiceworks Anda.

Total 10 langkah

Langkah 1: Cadangan Spicworks dan sertifikat & kunci exiwsting.

A) Jalankan cadangan penuh dari Anda Pengaturan SW
B) Arahkan ke C: Program Files Spiceworks (x86) httpd ssl dan salin file PEM ke lokasi alternatif.
C) Arahkan ke C: Program Files (x86) Spiceworks httpd conf dan salin file httpd.conf ke lokasi alternatif.

Langkah 2: Persiapkan sistem Anda

Anda dapat menggunakan CERTREQ di sini dan kemudian menggunakan CERTUTIL untuk mengekspor PFX dari toko Sertifikat, tetapi jika Anda ingin lebih banyak fleksibilitas atas kunci pribadi Anda daripada yang diberikan Certreq, gunakan alat baris perintah OpenSSL untuk menghasilkan kunci pribadi Anda. Kemudian Anda dapat melakukan apa pun yang Anda inginkan dengan mereka tanpa langkah tambahan karena harus mengekspornya dari toko sertifikat Anda.

Saya akan menggunakan OpenSSL dalam skenario ini. Saya menggunakan binari windows dari situs alternatif ini. Win32 OpenSSL v1.0.2h Light https://slproweb.com/products/Win32OpenSSL.html

Selama Instalasi, ubah jalur dll ke folder / bin untuk menjaga semuanya rapi dan rapi
Setelah instalasi, atur variabel lingkungan (variabel ini dan file .conf yang hilang adalah alasan mengapa Spiceworks yang dibangun di dalam biner openssl tidak dapat digunakan. Dari perintah yang ditinggikan, jalankan perintah
Set OPENSSL_CONF = C: OpenSSL-Win32 bin openssl.cfg (di mana C: OpenSSL-Win32 adalah direktori instalasi OpenSSL).

Langkah 3: Hasilkan Pasangan Kunci

OpenSSL mendukung perintah terpisah atau terpadu untuk membuat Pasangan kunci dan CSR. Ini juga mendukung penambahan enkripsi pada kunci. Namun, apache pada Windows memerlukan dan kunci pribadi yang tidak dienkripsi. ----- AWAL KUNCI PRIVATE RSA -----
Jalankan perintah berikut untuk menghasilkan keypair.
C:> cd OpenSSL-Win32 bin
C: OpenSSL-Win32 bin> openssl genrsa -out private.key 2048

Langkah 4: Hasilkan CSR

C: OpenSSL-Win32 bin> openssl req -baru -kunci private.key -out spiceworks.csr
Anda akan diminta memasukkan informasi yang akan dimasukkan
dalam permintaan sertifikat Anda.
Yang akan Anda masukkan adalah apa yang disebut dengan Distinguished Name atau DN.
Ada beberapa bidang tetapi Anda dapat mengosongkannya
Untuk beberapa bidang akan ada nilai default,
Jika Anda memasukkan '.', Bidang tersebut akan dibiarkan kosong.
-----
Nama Negara (2 kode huruf) [AU]:
Nama Negara Bagian atau Provinsi (nama lengkap) [Beberapa Negara]:
Nama Daerah (mis. Kota) []:
Nama Organisasi (misalnya, perusahaan) [Internet Widgits Pty Ltd]:
Nama Unit Organisasi (misal, bagian) []:
Nama Umum (mis. Server FQDN atau nama ANDA) []:
Alamat email []:

Silakan masukkan atribut 'ekstra' berikut
untuk dikirim dengan permintaan sertifikat Anda
Kata sandi tantangan []:
Nama perusahaan opsional []:

*** KIRIM CSR ke CA Anda dan tentukan apache jika diminta.

Langkah 5: Dapatkan Sertifikat dari CA dan Instal

*** BERHENTI Layanan Spiceworks Anda ***

Setiap CA Menyediakan langkah-langkah untuk menginstal cert pada apache. Anda mungkin memiliki sertifikat perantara atau bundel yang diperlukan untuk menginstal. Silakan merujuk ke CA Anda untuk instruksi pemasangan yang tepat.

singkatnya, Anda akan ingin menyalin
(SSLCerticicateKeyFile) private.key ke C: Program Files (x86) Spiceworks httpd ssl ssl-private-key.pem
(SSLCertificateFile) Spiceworks.crt ke C: Program Files (x86) Spiceworks httpd ssl ssl-cert.pem
(SSLCertificateChainFile) ke C: Program Files (x86) Spiceworks httpd ssl ssl-cabundle.pem

Langkah 6: Ubah Pengaturan SSL

** Pada 7.5.000095 - suite sandi telah berubah. Anda mungkin hanya ingin mengubah TLS untuk menghapus 1.0

Sekarang kami ingin memberi tahu Apache protokol SSL apa yang akan kami terima dan nonaktifkan beberapa sandi yang kurang aman yang dapat digunakan.

Untuk melakukan ini gulir ke bagian paling bawah dari file httpd.conf dan temukan bagian yang dimulai dengan:

Di dalamnya ada komentar atau hapus baris yang dimulai dengan "SSLCipherSuite".
Sekarang tambahkan dua baris ini di tempatnya:
SSLProtocol -All + TLSv1.1 + TLSv1.2
SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH

Sedikit riset lebih lanjut memungkinkan Anda untuk mengedit daftar ini lebih jauh tergantung pada persyaratan keamanan Anda. Terutama jika Anda mempertahankan dukungan XP atau dukungan browser yang lebih lama.

Langkah 7: Tambahkan ca.bundle atau intermediate.pem ke httpd.conf

JIKA ca Anda membutuhkan sertifikat perantara atau CA Bundle, maka JAGA buka file httpd.conf Anda dan tambahkan nama file dan jalur cabundle.pem
SSLCertificateChainFile "ssl ssl-cabundle.pem" tambahkan akhir seperti


SSLEngine aktif
SSLOptions + StrictRequire
SSLProtocol -All + TLSv1.1 + TLSv1.2
SSLCipherSuite EECDH + AESGCM: EDH + AESGCM: AES256 + EECDH: AES256 + EDH
SSLHonorCipherOrder aktif
SSLCertificateFile "ssl / ssl-cert.pem"
SSLCertificateKeyFile "ssl / ssl-private-key.pem"
SSLCertificateChainFile "ssl / ssl-cabundle.pem"

Langkah 8: Paksa semua Koneksi untuk menggunakan SSL

Karena Spiceworks menggunakan Apache, kami dapat dengan mudah memaksa semua koneksi untuk menggunakan SSL dengan menerapkan aturan penulisan ulang URL.

Untuk melakukan ini kita perlu mengedit file httpd.conf yang menyimpan konfigurasi Apache. Ini disimpan dalam folder instalasi Spiceworks Anda di bawah httpd conf.

Gulir ke bawah menjelang akhir file httpd.conf dan sekitar baris 123 cari baris yang berisi:

# kesalahan dokumen

Kemudian DI ATAS baris ini tambahkan yang berikut:


Tulis Ulang Hidup
# Paksa SSL di semua koneksi
RewriteCond% {HTTPS} tidak aktif
RewriteCond% {REMOTE_HOST}! ^ 127 .0 .0 .1
RewriteRule (. *) Https: //% {HTTP_HOST}% {REQUEST_URI}

Langkah 9: Mulai Ulang Layanan

Langkah 10: 10. Terapkan kembali perubahan httpd.conf setelah setiap pembaruan

Sayangnya, pembaruan menimpa file httpd.conf dan Anda harus melakukan modifikasi setelah setiap pembaruan.