Skip to main content
OnCommand Insight
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Importazione di certificati SSL con firma CA per Cognos e DWH (Insight 7.3.10 e versioni successive)

Collaboratori
PDF

È possibile aggiungere certificati SSL per abilitare l'autenticazione e la crittografia avanzate per l'ambiente Data Warehouse e Cognos.

Prima di iniziare

Questa procedura riguarda i sistemi che eseguono OnCommand Insight 7.3.10 e versioni successive.

Nota

Per le istruzioni più aggiornate sul CAC e sul certificato, consulta i seguenti articoli della Knowledge base (è richiesto l'accesso al supporto):

A proposito di questa attività

Per eseguire questa procedura, è necessario disporre dei privilegi di amministratore.

Fasi

  1. Arrestare Cognos utilizzando lo strumento di configurazione IBM Cognos. Chiudere Cognos.

  2. Creare backup di ..\SANScreen\cognos\analytics\configuration e. ..\SANScreen\cognos\analytics\temp\cam\freshness cartelle.

  3. Generare una richiesta di crittografia del certificato da Cognos. In una finestra Admin CMD, eseguire:

    1. cd “\Program Files\sanscreen\cognos\analytics\bin”

    2. ThirdPartyCertificateTool.bat -java:local -c -e -p NoPassWordSet -a RSA -r c:\temp\encryptRequest.csr -d “CN=server.domain.com,O=NETAPP,C=US” -H “server.domain.com” -I “ipaddress”. Nota: In questo caso -H e -i devono aggiungere subjectAltNames come dns e ipaddress.

  4. Aprire c:\temp\encryptRequest.csr archiviare e copiare il contenuto generato.

  5. Inserire il contenuto EncryptRequest.csr e generare il certificato utilizzando il portale per la firma CA.

  6. Scarica i certificati della catena includendo il certificato root utilizzando il formato PKCS7

    In questo modo si scarica il file fqdn.p7b

  7. Ottenere un certificato in formato .p7b dalla CA. Utilizzare un nome che lo contrassegna come certificato per il server Web Cognos.

  8. ThirdPartyCertificateTool.bat non riesce ad importare l'intera catena, pertanto sono necessari più passaggi per esportare tutti i certificati. Suddividere la catena esportandole singolarmente come segue:

    1. Aprire il certificato .p7b in “Crypto Shell Extensions”.

    2. Selezionare “Certificates” nel riquadro sinistro.

    3. Fare clic con il pulsante destro del mouse su CA principale > tutte le attività > Esporta.

    4. Selezionare l'output Base64.

    5. Immettere un nome di file che lo identifichi come certificato root.

    6. Ripetere i passaggi da 8a a 8e per esportare tutti i certificati separatamente in file .cer.

    7. Assegnare un nome ai file intermediateX.cer e cognos.cer.

  9. Ignorare questo passaggio se si dispone di un solo certificato CA, altrimenti unire sia root.cer che intermediateX.cer in un unico file.

    1. Aprire root.cer con blocco note e copiare il contenuto.

    2. Aprire intermediate.cer con blocco note e aggiungere il contenuto da 9a (intermedio prima e root avanti).

    3. Salvare il file come chain.cer.

  10. Importare i certificati nel keystore Cognos utilizzando il prompt Admin CMD:

    1. cd "`Program Files/sanscreen/cognos/Analytics` bin"

    2. ThirdPartyCertificateTool.bat -java:local -i -T -r c

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r c

    4. ThirdPartyCertificateTool.bat -java:local -i -e -r c

  11. Aprire IBM Cognos Configuration.

    1. Selezionare Local Configuration (Configurazione locale)-→ Security (protezione) -→ Cryptography (crittografia) -→ Cognos

    2. Modifica “Usa CA di terze parti?” Su vero.

    3. Salvare la configurazione.

    4. Riavviare Cognos

  12. Esportare il certificato Cognos più recente in cognos.crt utilizzando il prompt Admin CMD:

    1. cd "`C: Programmi/SANscreen"

    2. java keytool.exe -exportcert -file c: Temp cognos.crt -keystore cognos/analytics/Configuration/certs/CAMKeystore -storetype PKCS12 -storepass NoPassWordSet -alias Encryption

  13. Eseguire il backup del trustore del server DWH all'indirizzo..\SANscreen\wildfly\standalone\configuration\server.trustore

  14. Importare "`c:` temp cognos.crt" in DWH trustore per stabilire la comunicazione SSL tra Cognos e DWH, utilizzando la finestra del prompt Admin CMD.

    1. cd "`C: Programmi/SANscreen"

    2. java/bin/keytool.exe -importcert -file c:/temp/cognos.crt -keystore wildfly/standalone/configurazione/server.trustore -storepass changeit -alias codnos3rdca

  15. Riavviare il servizio SANscreen.

  16. Eseguire un backup di DWH per assicurarsi che DWH comunichi con Cognos.

  17. I seguenti passaggi devono essere eseguiti anche quando viene modificato solo il “sSL certificate” e i certificati Cognos predefiniti rimangono invariati. In caso contrario, Cognos potrebbe lamentarsi del nuovo certificato SANscreen o non essere in grado di creare un backup DWH.

    1. cd “%SANSCREEN_HOME%cognos\analytics\bin\”

    2. “%SANSCREEN_HOME%java64\bin\keytool.exe” -exportcert -file “c:\temp\sanscreen.cer” -keystore “%SANSCREEN_HOME%wildfly\standalone\configuration\server.keystore” -storepass changeit -alias “ssl certificate”

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r “c:\temp\sanscreen.cer”

    In genere, questi passaggi vengono eseguiti nell'ambito del processo di importazione dei certificati Cognos descritto in "Come importare un certificato firmato dall'autorità di certificazione (CA) di Cognos in OnCommand DataWarehouse 7.3.3 e versioni successive"