AD Audit over https

Keine Applikation sollte heute mehr unter http erreichbar sein. Viele Unternehmen hegen bereits den Eigenanspruch ihre gesamte Infrastruktur sicherer zu betreiben. Vor einigen Jahren waren dafür noch Wirtschaftsprüfer notwendig bzw. die treibende Kraft gewesen.

Manage Engine ADAudit & ADManager auf TLS umstellen

Die Server.xml befindet sich im Verzeichnis ADManager Plus\Conf.

# Server XML Manage Engine ADAudit Plus

</Host>
</Engine>
<Connector SSLEnabled=”true” URIEncoding=”UTF-8″ acceptCount=”100″ ciphers=”TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_
GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256″ clientAuth=”false” connectionTimeout=”20000″ debug=”0″ disableUploadTimeout=”true” enableLookups=”false” keystoreFile=”./conf/adaudit.pfx” keystorePass=”adap” keystoreType=”PKCS12″ maxSpareThreads=”75″ maxThreads=”150″ minSpareThreads=”25″ name=”SSL” port=”8120″ scheme=”https” secure=”true” sslEnabledProtocols=”TLSv1.2″ sslProtocol=”TLS”/>
</Service>
</Server>

# Server XML Manage Engine ADManager Plus

</Host>
</Engine>
<Connector SSLEnabled=”true” URIEncoding=”UTF-8″ acceptCount=”100″ ciphers=”TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_
GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256″ clientAuth=”false” connectionTimeout=”20000″ disableUploadTimeout=”true” enableLookups=”false” keystoreFile=”./conf/adm.pfx” keystorePass=”adap” maxHttpHeaderSize=”65535″ maxParameterCount=”-1″ maxPostSize=”-1″ maxThreads=”150″ minSpareThreads=”25″ name=”SSL” port=”8443″ relaxedQueryChars=”[]|{}^&#x5c;&#x60;&quot;&lt;&gt;” scheme=”https” secure=”true” server=”ADMP” sslEnabledProtocols=”TLSv1.2″ sslProtocol=”TLS”/>
</Service>
</Server>

In der wrapper.conf von ADManager Plus sollte folgender Parameter noch angepasst werden. TLSv1.0 und TLSv1.1 sollten entfernt werden, so das nur noch TLSv1.2 aktiv ist.

# Java Additional Parameters

wrapper.java.additional.15=-Dhttps.protocols=TLSv1.2