Skip to main content
OnCommand Insight
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione degli host per l'accesso a smart card e certificati

Collaboratori
PDF

È necessario apportare modifiche alla configurazione dell'host OnCommand Insight per supportare gli accessi con smart card (CAC) e certificati.

Prima di iniziare

  • LDAP deve essere attivato nel sistema.

  • LDAP User principal account name L'attributo deve corrispondere al campo LDAP che contiene l'ID dell'utente.

Nota

Per le istruzioni più aggiornate sul CAC e sul certificato, consulta i seguenti articoli della Knowledge base (è richiesto l'accesso al supporto):

Fasi

  1. Utilizzare regedit utility per modificare i valori del registro di sistema in HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java:

    1. Modificare l'opzione JVM_Option DclientAuth=false a. DclientAuth=true.

  2. Eseguire il backup del file keystore: C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore

  3. Aprire un prompt dei comandi specificando Run as administrator

  4. Eliminare il certificato autogenerato: C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore

  5. Generare un nuovo certificato: C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName"

  6. Generare una richiesta di firma del certificato (CSR): C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr"

  7. Una volta restituito il CSR nel passaggio 6, importare il certificato, quindi esportarlo in formato base-64 e collocarlo in "C:\temp" named servername.cer.

  8. Estrarre il certificato dal keystore:C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12

  9. Estrarre una chiave privata dal file p12: openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem"

  10. Unire il certificato base-64 esportato al punto 7 con la chiave privata: openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz"

  11. Importare il certificato Unito nel keystore: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name"

  12. Importare il certificato root: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name"

  13. Importare il certificato root nel server.trustore: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name"

  14. Importare il certificato intermedio: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"

    Ripetere questo passaggio per tutti i certificati intermedi.

  15. Specificare il dominio in LDAP da associare a questo esempio.

  16. Riavviare il server.