Skip to main content
OnCommand Insight
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Importieren von CA-signierten SSL-Zertifikaten für Cognos und DWH (Insight 7.3.10 und höher)

Beitragende
PDFs

Sie können SSL-Zertifikate hinzufügen, um eine erweiterte Authentifizierung und Verschlüsselung für Ihre Data Warehouse- und Cognos-Umgebung zu ermöglichen.

Bevor Sie beginnen

Dieses Verfahren gilt für Systeme mit OnCommand Insight 7.3.10 und höher.

Hinweis

Die aktuellsten CAC- und Zertifikatanweisungen finden Sie in den folgenden Knowledgebase-Artikeln (Support-Anmeldung erforderlich):

Über diese Aufgabe

Sie müssen über Administratorrechte verfügen, um dieses Verfahren durchführen zu können.

Schritte

  1. Beenden Sie Cognos mit dem IBM Cognos Configuration Tool. Schließen Sie Cognos.

  2. Erstellen Sie Backups des ..\SANScreen\cognos\analytics\configuration Und ..\SANScreen\cognos\analytics\temp\cam\freshness Ordner.

  3. Erstellen Sie eine Zertifikatsverschlüsselungsanforderung von Cognos. Führen Sie in einem Admin-CMD-Fenster Folgendes aus:

    1. cd “\Program Files\sanscreen\cognos\analytics\bin”

    2. ThirdPartyCertificateTool.bat -java:local -c -e -p <password> -a RSA -r c:\temp\encryptRequest.csr -d “CN=server.domain.com,O=NETAPP,C=US” -H “server.domain.com” -I “ipaddress”. Anmerkung: Hier sollen -H und -i subjectAltNames wie dns und ipaddress hinzufügen.

    3. Verwenden Sie für <password> das Kennwort aus der Datei /SANscreen/bin/cognos_info.dat.

  4. Öffnen Sie das c:\temp\encryptRequest.csr Datei und kopieren Sie den generierten Inhalt.

  5. Geben Sie den Inhalt von encryptRequest.csr ein, und erstellen Sie das Zertifikat mithilfe des CA-Signing-Portals.

  6. Laden Sie die Kettenzertifikate unter Einbeziehung des Stammzertifikats im PKCS7-Format herunter

    Dadurch wird die Datei fqdn.p7b heruntergeladen

  7. Holen Sie sich ein Zertifikat im .p7b-Format von Ihrer CA. Verwenden Sie einen Namen, der ihn als Zertifikat für den Cognos-Webserver kennzeichnet.

  8. ThirdPartyCertificateTool.bat kann die gesamte Kette nicht importieren, so dass mehrere Schritte erforderlich sind, um alle Zertifikate zu exportieren. Teilen Sie die Kette auf, indem Sie sie einzeln wie folgt exportieren:

    1. Öffnen Sie das .p7b-Zertifikat unter „Crypto Shell Extensions“.

    2. Navigieren Sie im linken Fensterbereich zu „Zertifikate“.

    3. Klicken Sie mit der rechten Maustaste auf Stammzertifizierungsstelle > Alle Aufgaben > Exportieren.

    4. Wählen Sie Base64-Ausgabe.

    5. Geben Sie einen Dateinamen ein, der ihn als Stammzertifikat identifiziert.

    6. Wiederholen Sie die Schritte 8a bis 8e, um alle Zertifikate separat in .cer-Dateien zu exportieren.

    7. Benennen Sie die Dateien intermediateX.cer und cognos.cer.

  9. Ignorieren Sie diesen Schritt, wenn Sie nur ein CA-Zertifikat haben, andernfalls fügen Sie root.cer und intermediateX.cer in eine Datei zusammen.

    1. Öffnen Sie root.cer mit Notepad und kopieren Sie den Inhalt.

    2. Öffnen Sie intermediate.cer mit Notepad und fügen Sie den Inhalt von 9a an (intermediate first und root next).

    3. Speichern Sie die Datei unter Chain.cer.

  10. Importieren Sie die Zertifikate in den Cognos-Keystore mithilfe der Admin-CMD-Eingabeaufforderung:

    1. cd „Program Files\sanscreen\cognos\Analytics\bin

    2. ThirdPartyCertificateTool.bat -java:local -i -T -r c:\temp\root.cer

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r c:\temp\intermediate.cer

    4. ThirdPartyCertificateTool.bat -java:local -i -e -r c:\temp\cognos.cer -t c:\temp\Chain.cer

  11. Öffnen Sie die IBM Cognos-Konfiguration.

    1. Wählen Sie Lokale Konfiguration-→ Sicherheit -→ Kryptographie -→ Cognos

    2. Drittanbieter-CA verwenden?“ ändern Nach wahr.

    3. Speichern Sie die Konfiguration.

    4. Cognos Neu Starten

  12. Exportieren Sie das neueste Cognos-Zertifikat in cognos.crt mithilfe der Admin CMD-Eingabeaufforderung:

    1. cd „`C:\Program Files\SANscreen“

    2. java\bin\keytool.exe -exportcert -file c:\temp\cognos.crt -keystore cognos\Analytics\Configuration\certs\CAMKeystore -storetype PKCS12 -storepass <password> -alias-Verschlüsselung

    3. Verwenden Sie für <password> das Kennwort aus der Datei /SANscreen/bin/cognos_info.dat.

  13. Sichern Sie den DWH-Server trustore unter..\SANscreen\wildfly\standalone\configuration\server.trustore

  14. Importieren Sie „c:\temp\cognos.crt“ in DWH trustore, um mithilfe des Admin CMD-Eingabefensters die SSL-Kommunikation zwischen Cognos und DWH herzustellen.

    1. cd „`C:\Program Files\SANscreen“

    2. java\bin\keytool.exe -importcert -file c:\temp\cognos.crt -keystore wildfly\Standalone\Configuration\Server.trustore -storepass <password> -alias cognos3rdca

    3. Verwenden Sie für <password> das Kennwort aus der Datei /SANscreen/bin/cognos_info.dat.

  15. Starten Sie den SANscreen-Dienst neu.

  16. Führen Sie eine Sicherungskopie des DWH durch, um sicherzustellen, dass DWH mit Cognos kommuniziert.

  17. Die folgenden Schritte sollten auch dann durchgeführt werden, wenn nur das “ssl-Zertifikat” geändert wird und die Standard-Cognos-Zertifikate unverändert bleiben. Andernfalls kann Cognos sich über das neue SANscreen-Zertifikat beschweren oder keine DWH-Sicherung erstellen.

    1. cd “%SANSCREEN_HOME%cognos\analytics\bin\”

    2. “%SANSCREEN_HOME%java64\bin\keytool.exe” -exportcert -file “c:\temp\sanscreen.cer” -keystore “%SANSCREEN_HOME%wildfly\standalone\configuration\server.keystore” -storepass <password> -alias “ssl certificate”

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r “c:\temp\sanscreen.cer”

    Diese Schritte werden normalerweise im Rahmen des in beschriebenen Cognos-Zertifikatimportprozesses ausgeführt "Importieren eines von Cognos signierten Zertifikats einer Zertifizierungsstelle (CA) in OnCommand DataWarehouse 7.3.3 und höher"