Configuración de hosts para el inicio de sesión de tarjeta inteligente y certificado
Sugerir cambios
PDF
Debe realizar modificaciones en la configuración del host de OnCommand Insight para admitir la tarjeta inteligente (CAC) y los inicios de sesión de certificados.
Antes de empezar
-
LDAP debe estar habilitado en el sistema.
-
El LDAP
User principal account nameEl atributo debe coincidir con el campo LDAP que contiene el ID de un usuario.
|
Si ha cambiado las contraseñas server.keystore y/o server.trustore mediante "securityadmin", reinicie el servicio SANscreen antes de importar el certificado LDAP. |
|
|
Para obtener las instrucciones más actualizadas del CAC y del certificado, consulte los siguientes artículos de la base de conocimientos (se requiere inicio de sesión de asistencia técnica): |
Pasos
-
Utilice la
regeditutilidad para modificar los valores del registro enHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java:-
Cambie la JVM_OPTION
DclientAuth=falseparaDclientAuth=true.
-
-
Realice una copia de seguridad del archivo keystore:
C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore -
Abra un símbolo del sistema especificando
Run as administrator -
Elimine el certificado autofirmado:
C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore -
Genere un nuevo certificado:
C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName" -
Genere una solicitud de firma de certificación (CSR):
C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr" -
Una vez que se devuelva la CSR en el paso 6, importe el certificado y exporte el certificado en formato base-64 y colóquelo
"C:\temp" named servername.cer. -
Extraiga el certificado del almacén de claves:
C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12 -
Extraiga una clave privada del archivo p12:
openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem" -
Fusionar el certificado base-64 exportado en el paso 7 con la clave privada:
openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz" -
Importe el certificado combinado al almacén de claves:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name" -
Importe el certificado raíz:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name" -
Importe el certificado raíz al servidor.truestore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name" -
Importe el certificado intermedio:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"Repita este paso con todos los certificados intermedios.
-
Especifique el dominio en LDAP para que coincida con este ejemplo.
-
Reinicie el servidor.