По умолчанию встроенный web-интерфейс программы работает по незащищённому протоколу HTTP. Это значит, что данные, которые пересылаются от встроенного web-сервера к браузеру могут быть перехвачены и без труда просмотрены. Эти данные включают в себя IP, MAC-адреса устройств, названия и расположения коммутаторов, журналы событий программы, параметры проверок и так далее. Если вы работаете с web-интерфейсом программы в защищённой, внутренней сети, где каждый пользователь имеет допуск к этим данным, то вам не о чем беспокоиться.
Однако, если вы хотите подключаться к web-серверу программы через открытые сети (Internet), то вам однозначно нужно использовать защищённый протокол HTTPS для доступа к информации через браузер. Протокол HTTPS подразумевает шифрование пересылаемых от web-сервера к браузеру данных с помощью ключа и сертификата, который выдаётся на домен удостоверяющим центром. Сертификат имеет электронную подпись, которая защищает его от подделки.
Работа с web-интерфейсом программы через защищённое соединение с использованием самоподписанного демонстрационного сертификата 10-Strike Software
Web-сервер программы (Jetty) уже сконфигурирован для работы через защищённый протокол HTTPS. По умолчанию, он доступен через порт 8443, который может быть изменён в настройках Jetty: файл настроек etc\jetty-ssl.xml, параметр jetty.ssl.port.
Для того, чтобы перевести сервер Jetty на работу по протоколу HTTPS, откройте каталог c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\, переименуйте файл start-https.ini в start.ini (существующий файл start.ini можно переименовать перед этим в start-http.ini, чтобы сохранить его) и перезапустите службу Jetty Service.
Запустите браузер и введите в адресную строку:
https://localhost:8443/netmonitor/?locale=ru
Поставляемый в комплекте сертификат является самоподписанным, или, другими словами, выпущенным не удостоверяющим центром. Этот демо-сертификат был сгенерирован свободнораспространяемой утилитой openssl.exe с открытым кодом. Этот сертификат предназначен для демонстрации работы встроенного web-интерфейса программы по HTTPS и не должен использоваться в незащищённых сетях, так как он не является безопасным. Однако, если у вас нет собственного сертификата, выпущенного с привязкой к вашему домену и компании, то во внутренних сетях вы можете использовать и этот демо-сертификат. Однако, вам нужно будет добавить его в исключения, разрешив браузеру доверять этому сертификату.
Сделать это очень легко. Когда вы попытаетесь перейти по URL web-интерфейса, то браузер выдаст вам предупреждение о незащищённости соединения. Выполните следующие действия, чтобы обойти это предупреждение и не получать его в дальнейшем (на примере Firefox):
- Нажмите кнопку Дополнительно.
- Нажмите кнопку Добавить исключение.
- В открывшемся диалоге нажмите кнопку Подтвердить исключение безопасности.
После этого браузер продолжит загрузку web-интерфейса и вы сможете работать с ним через шифрованный протокол HTTPS так же, как и в первом случае, когда у вас есть свой сертификат. Но так как браузер не может проверить подлинность установленного сертификата, он будет продолжать считать его небезопасным.
! Не используйте демо-сертификат для работы с web-интерфейсом программы в незащищённых сетях (к примеру, через Internet)!
Установка подписанного сертификата за 10 шагов
Если у вас есть свой сертификат, выданный и подписанный удостоверяющим центром, то вы можете использовать его в программе, выполнив следующие действия:
- Ваш сертификационный центр должен предоставить вам два файла: подписанный сертификат (.crt) и ключ (.key).
Скопируйте их в папку c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\Certificate\ и переименуйте в jetty.crt и jetty.key соответственно. Файл jetty.crt должен быть в формате PEM, то есть выглядеть примерно вот так:
-----BEGIN CERTIFICATE-----
MIIDzDCCArQCCQCXtcBm22AETzANBgkqhkiG9w0BAQQF
MTAtU3RyaWtlIFNvZnR3YXJlMSQwIgYJKoZIhvcNAQkB
...
xEDGxy6A+grWMG7p8Ct/KIIz0dUeoJRw8kQvV/eZsOIB
560vPhTn6pode036YdDHMQ==
-----END CERTIFICATE----- - Запустите файл 1_import_crt.bat.
Задайте пароль для хранилища ключей Jetty и подтвердите его. Запомните или запишите пароль - он будет нужен при дальнейшей настройке.
На вопрос о доверии к сертификату ответьте "yes". В том же каталоге должен будет появиться новый файл keystore - это и есть хранилище ключей и сертификатов Jetty, в которое уже добавлен ваш сертификат.
- Теперь необходимо перевести crt и key-файлы в формат PKCS12 перед загрузкой их в созданное хранилище. Для этого запустите файл 2_make_pks.bat.
Введите заданный до этого пароль хранилища ключей, подтвердите его. В том же каталоге должен будет появиться новый файл jetty.pkcs12 - объединённый файл ключа и сертификата.
- Загрузите его в хранилище, запустив файл 3_load_keys.bat.
Введите два раза заданный ранее пароль хранилища. В результате выполненной операции должен измениться размер и дата файла keystore в том же каталоге. Этот файл автоматически скопируется в каталог c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\etc\ - убедитесь, что это произошло (по дате файла).
- Откройте в любом текстовом редакторе файл c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\etc\jetty-ssl-context.xml.
Найдите строки:
<Set name="KeyStorePassword">...
<Set name="KeyManagerPassword">...
<Set name="TrustStorePassword">...
Они содержат пароль к хранилищу ключей. Пароль хранится в закодированном (обфусцированном) виде: OBF:1kfx1k8c1ym91wn11y0q1vno1v.
Необходимо заменить существующие пароли на тот, который вы задали при создании хранилища ключей, предварительно так же закодировав его. - Для этого откройте в любом текстовом редакторе файл 4_make_password.bat и замените пароль "netmonitor" на тот, который вы задавали при создании хранилища ключей.
Сохраните и запустите файл 4_make_password.bat. Если команда отработает успешно, то вы увидите на экране консоли следующий текст:
- Нажмите правой кнопкой на окне консоли и выберите в меню Пометить.
Выделите курсором текст, как показано на изображении ниже, и нажмите Enter для копирования пароля в буфер обмена.
- Вставьте пароль вместо текста в кавычках в перечисленных строках и сохраните файл jetty-ssl-context.xml.
- Запустите файл 5_config_and_restart.bat - он подменяет текущий конфигурационный файл запуска Jetty start.ini в каталоге c:\Program Files (x86)\10-Страйк Мониторинг Сети Pro\web\ на файл, с включёнными параметрыми HTTPS и перезапускает службу Jetty.
- Запустите браузер и введите в адресную строку: https://localhost:8443/netmonitor/?locale=ru
Теперь вы работаете с web-интерфейсом программы через защищённое соединение, о чём свидетельствует значок в адресной строке.
Более подробная информация о настройке HTTPS в Jetty: https://wiki.eclipse.org/...
Программа работает в среде Windows XP/Vista/7/8.1/10/11, Server 2003/2008/2012/2016/2019/2022. Вы можете скачать и попробовать 30-дневную пробную версию бесплатно.