Skip to main content
OnCommand Insight
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration des hôtes pour la connexion par carte à puce et certificat

Contributeurs
PDF

Vous devez apporter des modifications à la configuration de l'hôte OnCommand Insight pour prendre en charge les connexions par carte à puce (CAC) et certificat.

Avant de commencer

  • LDAP doit être activé sur le système.

  • Le LDAP User principal account name L'attribut doit correspondre au champ LDAP qui contient l'ID d'un utilisateur.

Remarque

Pour obtenir les instructions les plus récentes sur les cartes CAC et les certificats, consultez les articles suivants de la base de connaissances (connexion au support requise) :

Étapes

  1. Utilisez le regedit utilitaire permettant de modifier les valeurs de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java:

    1. Modifiez JVM_option DclientAuth=false à DclientAuth=true.

  2. Sauvegardez le fichier du magasin de clés : C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore

  3. Ouvrez une invite de commande en spécifiant Run as administrator

  4. Supprimez le certificat généré automatiquement : C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore

  5. Générer un nouveau certificat : C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName"

  6. Générer une requête de signature de certificat (CSR) : C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr"

  7. Une fois la CSR renvoyée à l'étape 6, importez le certificat, puis exportez-le au format base-64 et placez-le dans "C:\temp" named servername.cer.

  8. Extrayez le certificat du magasin de clés :C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12

  9. Extraire une clé privée du fichier p12 : openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem"

  10. Fusionnez le certificat base-64 que vous avez exporté à l'étape 7 avec la clé privée : openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz"

  11. Importez le certificat fusionné dans le magasin de clés : C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name"

  12. Importer le certificat racine : C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name"

  13. Importez le certificat racine dans le serveur.trustore : C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name"

  14. Importer le certificat intermédiaire : C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"

    Répétez cette étape pour tous les certificats intermédiaires.

  15. Spécifiez le domaine dans LDAP pour correspondre à cet exemple.

  16. Redémarrez le serveur.