Configurazione degli host per l'accesso a smart card e certificati
Suggerisci modifiche
PDF
È necessario apportare modifiche alla configurazione dell'host OnCommand Insight per supportare gli accessi con smart card (CAC) e certificati.
Prima di iniziare
-
LDAP deve essere attivato nel sistema.
-
LDAP
User principal account nameL'attributo deve corrispondere al campo LDAP che contiene l'ID dell'utente.
|
Se sono state modificate le password server.keystore e/o server.trustore utilizzando "securityadmin", riavviare il servizio SANscreen prima di importare il certificato LDAP. |
|
|
Per le istruzioni più aggiornate sul CAC e sul certificato, consulta i seguenti articoli della Knowledge base (è richiesto l'accesso al supporto): |
Fasi
-
Utilizzare
regeditutility per modificare i valori del registro di sistema inHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java:-
Modificare l'opzione JVM_Option
DclientAuth=falsea.DclientAuth=true.
-
-
Eseguire il backup del file keystore:
C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore -
Aprire un prompt dei comandi specificando
Run as administrator -
Eliminare il certificato autogenerato:
C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore -
Generare un nuovo certificato:
C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName" -
Generare una richiesta di firma del certificato (CSR):
C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr" -
Una volta restituito il CSR nel passaggio 6, importare il certificato, quindi esportarlo in formato base-64 e collocarlo in
"C:\temp" named servername.cer. -
Estrarre il certificato dal keystore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12 -
Estrarre una chiave privata dal file p12:
openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem" -
Unire il certificato base-64 esportato al punto 7 con la chiave privata:
openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz" -
Importare il certificato Unito nel keystore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name" -
Importare il certificato root:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name" -
Importare il certificato root nel server.trustore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name" -
Importare il certificato intermedio:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"Ripetere questo passaggio per tutti i certificati intermedi.
-
Specificare il dominio in LDAP da associare a questo esempio.
-
Riavviare il server.