Importación de certificados SSL firmados por CA para Cognos y DWH (Insight 7.3.5 a 7.3.9)
Puede agregar certificados SSL para habilitar la autenticación y el cifrado mejorados para su entorno de Data Warehouse y Cognos.
Antes de empezar
Este procedimiento se aplica a sistemas que ejecutan OnCommny Insight 7.3.5 a 7.3.9.
Para obtener las instrucciones más actualizadas del CAC y del certificado, consulte los siguientes artículos de la base de conocimientos (se requiere inicio de sesión de asistencia técnica): |
Acerca de esta tarea
Debe tener privilegios de administrador para realizar este procedimiento.
Pasos
-
Cree un backup de
..\SANScreen\cognos\analytics\configuration\cogstartup.xml
. -
Crear una copia de seguridad de las carpetas «'certs'» y «'csk'» en
..\ SANScreen\cognos\analytics\configuration
. -
Genere una solicitud de cifrado de certificado desde Cognos. En una ventana Admin CMD, ejecute:
-
cd
“\Program Files\sanscreen\cognos\analytics\bin”
-
ThirdPartyCertificateTool.bat -java:local -c -e -p NoPassWordSet -a RSA -d “CN=FQDN,O=orgname,C=US” -r c:\temp\encryptRequest.csr
-
-
Abra el
c:\temp\encryptRequest.csr
archiva y copia el contenido generado. -
Envíe el encryptRequest.csr a la entidad de certificación (CA) para obtener un certificado SSL.
Asegúrese de agregar atributos adicionales como "TAN:dns=FQDN (por ejemplo, hostname.netapp.com)`" para agregar SubjectAltName. Google Chrome versión 58 y posteriores se queja si falta SubjectAltName en el certificado.
-
Descargue los certificados de cadena incluyendo el certificado raíz utilizando el formato PKCS7
Esto descargará el archivo fqdn.p7b
-
Obtenga un certificado en formato .p7b de la CA. Utilice un nombre que lo marque como el certificado del servidor web Cognos.
-
ThirdPartyCertificateTool.bat no puede importar la cadena completa, de modo que se necesitan varios pasos para exportar todos los certificados. Divida la cadena exportándolos individualmente de la siguiente manera:
-
Abra el certificado .p7b en "'Extensiones de shell de cifrado'".
-
Navegue en el panel izquierdo hasta «'certificados'».
-
Haga clic con el botón derecho del ratón en la CA raíz > todas las tareas > Exportar.
-
Seleccione salida Base64.
-
Introduzca un nombre de archivo que lo identifique como certificado raíz.
-
Repita los pasos del 8 al 8 c para exportar todos los certificados por separado en archivos .cer.
-
Asigne un nombre a los archivos intermediateX.cer y cognos.cer.
-
-
Ignore este paso si sólo tiene un certificado de CA, de lo contrario, combine root.cer y intermediateX.cer en un archivo.
-
Abra Intermediate.cer con el Bloc de notas y copie el contenido.
-
Abra root.cer con el Bloc de notas y guarde el contenido de 9a.
-
Guarde el archivo como CA.cer.
-
-
Importe los certificados al almacén de claves de Cognos mediante el símbolo del sistema Admin CMD:
-
cd "'Archivos de programa\sanscreen\cognos\analítica\bin'"
-
ThirdPartyCertificateTool.bat -java:local -i -T -r c:\temp\CA.cer
Esto establecerá CA.cer como entidad emisora de certificados raíz.
-
ThirdPartyCertificateTool.bat -java:local -i -e -r c:\temp\cognos.cer -t c:\temp\CA.cer
Esto establecerá Cognos.cer como certificado de cifrado firmado por CA.cer.
-
-
Abra la configuración de IBM Cognos.
-
Seleccione Configuración local-→ Seguridad -→ Criptografía -→ Cognos
-
Cambiar «¿utilizar CA de terceros?» Para True.
-
Guarde la configuración.
-
Reinicie Cognos
-
-
Exporte el último certificado Cognos a cognos.crt utilizando el indicador de administración CMD:
-
"D:\Archivos de programa\SANscreen\java\bin\keytool.exe" -exportcert -file "'c:\temp\cognos.crt'" -keystore "D:\Archivos de programa\SANscreen\cognos\analítica\Configuration\certs\CAMKeystore" -storetype PKCS12 -storepass NoWordSet -alias cifrado
-
-
Importe "'c:\temp\cognos.crt'" en dwh truStore para establecer la comunicación SSL entre Cognos y DWH, mediante la ventana de indicación Admin CMD.
-
"D:\Archivos de programa\SANscreen\java\bin\keytool.exe" -importcert -file "'c:\temp\cognos.crt'" -keystore "D:\Archivos de programa\SANscreen\wiland\autónoma\Configuration\Server.trustore" -storeprechrit -alias cognoscert
-
-
Reinicie el servicio SANscreen.
-
Realice una copia de seguridad de DWH para asegurarse de que DWH se comunica con Cognos.