Skip to main content
OnCommand Insight
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Importation de certificats SSL signés par une autorité de certification pour Cognos et DWH (Insight 7.3.10 et versions ultérieures)

Contributeurs
PDF

Vous pouvez ajouter des certificats SSL pour activer l'authentification et le chiffrement améliorés pour votre environnement Data Warehouse et Cognos.

Avant de commencer

Cette procédure concerne les systèmes exécutant OnCommand Insight 7.3.10 et versions ultérieures.

Remarque

Pour obtenir les instructions les plus récentes sur les cartes CAC et les certificats, consultez les articles suivants de la base de connaissances (connexion au support requise) :

Description de la tâche

Vous devez disposer de privilèges d'administrateur pour effectuer cette procédure.

Étapes

  1. Arrêtez Cognos à l'aide de l'outil de configuration IBM Cognos. Fermer Cognos.

  2. Créer des sauvegardes du ..\SANScreen\cognos\analytics\configuration et ..\SANScreen\cognos\analytics\temp\cam\freshness dossiers.

  3. Générez une demande de cryptage de certificat à partir de Cognos. Dans une fenêtre Admin CMD, exécutez :

    1. cd “\Program Files\sanscreen\cognos\analytics\bin”

    2. ThirdPartyCertificateTool.bat -java:local -c -e -p NoPassWordSet -a RSA -r c:\temp\encryptRequest.csr -d “CN=server.domain.com,O=NETAPP,C=US” -H “server.domain.com” -I “ipaddress”. Note: Ici -H et -i sont d'ajouter subjectAltNames comme dns et ipaddress.

  4. Ouvrez le c:\temp\encryptRequest.csr classez et copiez le contenu généré.

  5. Entrez le contenu encryptRequest.csr et générez un certificat à l'aide du portail de signature CA.

  6. Téléchargez les certificats de chaîne en incluant le certificat racine en utilisant le format PKCS7

    Ceci téléchargera le fichier fqdn.p7b

  7. Obtenez un certificat au format .p7b auprès de votre autorité de certification. Utilisez un nom qui le marque comme certificat pour le serveur Web Cognos.

  8. ThirdPartyCertificateTool.bat ne parvient pas à importer l'ensemble de la chaîne ; plusieurs étapes sont donc nécessaires pour exporter tous les certificats. Divisez la chaîne en les exportant individuellement comme suit :

    1. Ouvrez le certificat .p7b dans « Crypto Shell Extensions ».

    2. Naviguez dans le volet de gauche jusqu'à “certificats”".

    3. Cliquez avec le bouton droit de la souris sur CA racine > toutes les tâches > Exporter.

    4. Sélectionnez sortie Base64.

    5. Entrez un nom de fichier identifiant celui-ci comme certificat racine.

    6. Répétez les étapes 8a à 8e pour exporter tous les certificats séparément dans des fichiers .cer.

    7. Nommez les fichiers intermediateX.cer et cognos.cer.

  9. Ignorez cette étape si vous n'avez qu'un seul certificat CA, sinon fusionnez root.cer et intermediateX.cer en un seul fichier.

    1. Ouvrez root.cer avec le Bloc-notes et copiez le contenu.

    2. Ouvrez intermediate.cer avec le Bloc-notes et ajoutez le contenu à partir de 9a (intermédiaire en premier et racine en suivant).

    3. Enregistrez le fichier sous chain.cer.

  10. Importez les certificats dans le magasin de clés Cognos à l'aide de l'invite Admin CMD :

    1. cd « Program Files\sanscreen\cognos\analytics\bin »

    2. ThirdPartyCertificateTool.bat -Java:local -i -T -r c:\temp\root.cer

    3. ThirdPartyCertificateTool.bat -Java:local -i -T -r c:\temp\intermediate.cer

    4. ThirdPartyCertificateTool.bat -Java:local -i -e -r c:\temp\cognos.cer -t c:\temp\chain.cer

  11. Ouvrez la configuration IBM Cognos.

    1. Sélectionnez Configuration locale→ sécurité -→ cryptographie -→ Cognos

    2. Modifier « utiliser une autorité de certification tierce ? » Sur vrai.

    3. Enregistrez la configuration.

    4. Redémarrez Cognos

  12. Exportez le dernier certificat Cognos dans cognos.crt à l'aide de l'invite Admin CMD :

    1. cd « C:\Program Files\SANscreen »

    2. java\bin\keytool.exe -exportcert -file c:\temp\cognos.crt -keystore cognos\analytics\configuration\certs\CAMKeystore -storetype PKCS12 -storepass NoPassWordSet -alias Encryption

  13. Sauvegardez le serveur DWH trustore sur..\SANscreen\wildfly\standalone\configuration\server.trustore

  14. Importez « c:\temp\cognos.crt » dans DWH trustore pour établir une communication SSL entre Cognos et DWH, à l'aide de la fenêtre d'invite Admin CMD.

    1. cd « C:\Program Files\SANscreen »

    2. java\bin\keytool.exe -importcert -file c:\temp\cognos.crt -keystore wildfly\standalone\configuration\server.trustore -storepass changeit -alias cogoss3rdca

  15. Redémarrez le service SANscreen.

  16. Effectuez une sauvegarde de DWH pour vous assurer que DWH communique avec Cognos.

  17. Les étapes suivantes doivent être effectuées même lorsque seul le "sl certificate" est modifié et que les certificats Cognos par défaut restent inchangés. Dans le cas contraire, Cognos peut se plaindre du nouveau certificat SANscreen ou être incapable de créer une sauvegarde DWH.

    1. cd “%SANSCREEN_HOME%cognos\analytics\bin\”

    2. “%SANSCREEN_HOME%java64\bin\keytool.exe” -exportcert -file “c:\temp\sanscreen.cer” -keystore “%SANSCREEN_HOME%wildfly\standalone\configuration\server.keystore” -storepass changeit -alias “ssl certificate”

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r “c:\temp\sanscreen.cer”

    Généralement, ces étapes sont effectuées dans le cadre du processus d'importation de certificat Cognos décrit dans "Importation d'un certificat signé par l'autorité de certification Cognos dans l'entrepôt de données OnCommand 7.3.3 et versions ultérieures"