Importation de certificats SSL signés par une autorité de certification pour Cognos et DWH (Insight 7.3.5 à 7.3.9)
Vous pouvez ajouter des certificats SSL pour activer l'authentification et le chiffrement améliorés pour votre environnement Data Warehouse et Cognos.
Avant de commencer
Cette procédure concerne les systèmes exécutant OnCommnand Insight 7.3.5 à 7.3.9.
Pour obtenir les instructions les plus récentes sur les cartes CAC et les certificats, consultez les articles suivants de la base de connaissances (connexion au support requise) : |
Description de la tâche
Vous devez disposer de privilèges d'administrateur pour effectuer cette procédure.
Étapes
-
Créer une sauvegarde de
..\SANScreen\cognos\analytics\configuration\cogstartup.xml
. -
Créez une sauvegarde des dossiers « certs » et « csk » sous
..\ SANScreen\cognos\analytics\configuration
. -
Générez une demande de cryptage de certificat à partir de Cognos. Dans une fenêtre Admin CMD, exécutez :
-
cd
“\Program Files\sanscreen\cognos\analytics\bin”
-
ThirdPartyCertificateTool.bat -java:local -c -e -p NoPassWordSet -a RSA -d “CN=FQDN,O=orgname,C=US” -r c:\temp\encryptRequest.csr
-
-
Ouvrez le
c:\temp\encryptRequest.csr
classez et copiez le contenu généré. -
Envoyez encryptRequest.csr à l'autorité de certification (CA) pour obtenir un certificat SSL.
Assurez-vous d'ajouter des attributs supplémentaires tels que `SAN:dns=FQDN (par exemple, hostname.netapp.com)`" pour ajouter le SubjectAltName). Google Chrome version 58 et ultérieure se plaint si le SubjectAltName est absent du certificat.
-
Téléchargez les certificats de chaîne en incluant le certificat racine en utilisant le format PKCS7
Ceci téléchargera le fichier fqdn.p7b
-
Obtenez un certificat au format .p7b auprès de votre autorité de certification. Utilisez un nom qui le marque comme certificat pour le serveur Web Cognos.
-
ThirdPartyCertificateTool.bat ne parvient pas à importer l'ensemble de la chaîne ; plusieurs étapes sont donc nécessaires pour exporter tous les certificats. Divisez la chaîne en les exportant individuellement comme suit :
-
Ouvrez le certificat .p7b dans « Crypto Shell Extensions ».
-
Naviguez dans le volet de gauche jusqu'à “certificats”".
-
Cliquez avec le bouton droit de la souris sur CA racine > toutes les tâches > Exporter.
-
Sélectionnez sortie Base64.
-
Entrez un nom de fichier identifiant celui-ci comme certificat racine.
-
Répétez les étapes 8a à 8c pour exporter tous les certificats séparément dans des fichiers .cer.
-
Nommez les fichiers intermediateX.cer et cognos.cer.
-
-
Ignorez cette étape si vous n'avez qu'un seul certificat CA, sinon fusionnez root.cer et intermediateX.cer en un seul fichier.
-
Ouvrez intermediate.cer avec le Bloc-notes et copiez le contenu.
-
Ouvrez root.cer avec le Bloc-notes et enregistrez le contenu à partir de 9a.
-
Enregistrez le fichier sous CA.cer.
-
-
Importez les certificats dans le magasin de clés Cognos à l'aide de l'invite Admin CMD :
-
cd « Program Files\sanscreen\cognos\analytics\bin »
-
ThirdPartyCertificateTool.bat -Java:local -i -T -r c:\temp\CA.cer
Cela va définir CA.cer comme autorité de certification racine.
-
ThirdPartyCertificateTool.bat -Java:local -i -e -r c:\temp\cognos.cer -t c:\temp\CA.cer
Ceci définit Cognos.cer comme certificat de cryptage signé par CA.cer.
-
-
Ouvrez la configuration IBM Cognos.
-
Sélectionnez Configuration locale→ sécurité -→ cryptographie -→ Cognos
-
Modifier « utiliser une autorité de certification tierce ? » Sur vrai.
-
Enregistrez la configuration.
-
Redémarrez Cognos
-
-
Exportez le dernier certificat Cognos dans cognos.crt à l'aide de l'invite Admin CMD :
-
« D:\Program Files\SANscreen\Java\bin\keytool.exe » -exportcert -file « c:\temp\cognos.crt » -keystore « D:\Program Files\SANscreen\cognos\analytics\configuration\certs\CAMKeystore » -storetype PKCS12 -storepass NoPassSet alias WordSet
-
-
Importez « c:\temp\cognos.crt » dans dwh trustore pour établir une communication SSL entre Cognos et DWH, à l'aide de la fenêtre d'invite Admin CMD.
-
« D:\Program Files\SANscreen\Java\bin\keytool.exe » -importcert -file « c:\temp\cognos.crt » -keystore « D:\Program Files\SANscreen\Wildfly\standalone\configuration\Server.trustore » -storepass changeit -alias cogoscert
-
-
Redémarrez le service SANscreen.
-
Effectuez une sauvegarde de DWH pour vous assurer que DWH communique avec Cognos.