Configuration des hôtes pour la connexion par carte à puce et certificat
Vous devez apporter des modifications à la configuration de l'hôte OnCommand Insight pour prendre en charge les connexions par carte à puce (CAC) et certificat.
Avant de commencer
-
LDAP doit être activé sur le système.
-
Le LDAP
User principal account name
L'attribut doit correspondre au champ LDAP qui contient l'ID d'un utilisateur.
Pour obtenir les instructions les plus récentes sur les cartes CAC et les certificats, consultez les articles suivants de la base de connaissances (connexion au support requise) : |
Étapes
-
Utilisez le
regedit
utilitaire permettant de modifier les valeurs de registre dansHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java
:-
Modifiez JVM_option
DclientAuth=false
àDclientAuth=true.
-
-
Sauvegardez le fichier du magasin de clés :
C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore
-
Ouvrez une invite de commande en spécifiant
Run as administrator
-
Supprimez le certificat généré automatiquement :
C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore
-
Générer un nouveau certificat :
C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName"
-
Générer une requête de signature de certificat (CSR) :
C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr"
-
Une fois la CSR renvoyée à l'étape 6, importez le certificat, puis exportez-le au format base-64 et placez-le dans
"C:\temp" named servername.cer
. -
Extrayez le certificat du magasin de clés :
C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12
-
Extraire une clé privée du fichier p12 :
openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem"
-
Fusionnez le certificat base-64 que vous avez exporté à l'étape 7 avec la clé privée :
openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz"
-
Importez le certificat fusionné dans le magasin de clés :
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name"
-
Importer le certificat racine :
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name"
-
Importez le certificat racine dans le serveur.trustore :
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name"
-
Importer le certificat intermédiaire :
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"
Répétez cette étape pour tous les certificats intermédiaires.
-
Spécifiez le domaine dans LDAP pour correspondre à cet exemple.
-
Redémarrez le serveur.