Importazione di certificati SSL con firma CA per Cognos e DWH (Insight da 7.3.5 a 7.3.9)
È possibile aggiungere certificati SSL per abilitare l'autenticazione e la crittografia avanzate per l'ambiente Data Warehouse e Cognos.
Prima di iniziare
Questa procedura si applica ai sistemi che eseguono OnCommnand Insight dalla versione 7.3.5 alla 7.3.9.
Per le istruzioni più aggiornate sul CAC e sul certificato, consulta i seguenti articoli della Knowledge base (è richiesto l'accesso al supporto): |
A proposito di questa attività
Per eseguire questa procedura, è necessario disporre dei privilegi di amministratore.
Fasi
-
Creare un backup di
..\SANScreen\cognos\analytics\configuration\cogstartup.xml
. -
Creare un backup delle cartelle “certs” e “csk” in
..\ SANScreen\cognos\analytics\configuration
. -
Generare una richiesta di crittografia del certificato da Cognos. In una finestra Admin CMD, eseguire:
-
cd
“\Program Files\sanscreen\cognos\analytics\bin”
-
ThirdPartyCertificateTool.bat -java:local -c -e -p NoPassWordSet -a RSA -d “CN=FQDN,O=orgname,C=US” -r c:\temp\encryptRequest.csr
-
-
Aprire
c:\temp\encryptRequest.csr
archiviare e copiare il contenuto generato. -
Inviare il file EncryptRequest.csr all'autorità di certificazione (CA) per ottenere un certificato SSL.
Assicurarsi di aggiungere altri attributi come “SAN:dns=FQDN (ad esempio, hostname.netapp.com)” per aggiungere SubjectAltName). Google Chrome versione 58 e successive si lamenta se SubjectAltName non è presente nel certificato.
-
Scarica i certificati della catena includendo il certificato root utilizzando il formato PKCS7
In questo modo si scarica il file fqdn.p7b
-
Ottenere un certificato in formato .p7b dalla CA. Utilizzare un nome che lo contrassegna come certificato per il server Web Cognos.
-
ThirdPartyCertificateTool.bat non riesce ad importare l'intera catena, pertanto sono necessari più passaggi per esportare tutti i certificati. Suddividere la catena esportandole singolarmente come segue:
-
Aprire il certificato .p7b in “Crypto Shell Extensions”.
-
Selezionare “Certificates” nel riquadro sinistro.
-
Fare clic con il pulsante destro del mouse su CA principale > tutte le attività > Esporta.
-
Selezionare l'output Base64.
-
Immettere un nome di file che lo identifichi come certificato root.
-
Ripetere i passaggi da 8a a 8c per esportare tutti i certificati separatamente in file .cer.
-
Assegnare un nome ai file intermediateX.cer e cognos.cer.
-
-
Ignorare questo passaggio se si dispone di un solo certificato CA, altrimenti unire sia root.cer che intermediateX.cer in un unico file.
-
Aprire Intermediate.cer con blocco note e copiare il contenuto.
-
Aprire root.cer con blocco note e salvare il contenuto da 9a.
-
Salvare il file come CA.cer.
-
-
Importare i certificati nel keystore Cognos utilizzando il prompt Admin CMD:
-
cd "`Program Files/sanscreen/cognos/Analytics` bin"
-
ThirdPartyCertificateTool.bat -java:local -i -T -r c
In questo modo, CA.cer viene impostato come autorità di certificazione principale.
-
ThirdPartyCertificateTool.bat -java:local -i -e -r c
In questo modo, Cognos.cer viene impostato come certificato di crittografia firmato da CA.cer.
-
-
Aprire IBM Cognos Configuration.
-
Selezionare Local Configuration (Configurazione locale)-→ Security (protezione) -→ Cryptography (crittografia) -→ Cognos
-
Modifica “Usa CA di terze parti?” Su vero.
-
Salvare la configurazione.
-
Riavviare Cognos
-
-
Esportare il certificato Cognos più recente in cognos.crt utilizzando il prompt Admin CMD:
-
"D: File di programma/SANscreen/java/bin/keytool.exe" -exportcert -file “c: Temp/cognos.crt” -keystore "D: File di programma/SANscreen/cognos/analytics/Configuration/CAMKeystore" -storetype PKCS12 -storepass NoPassSet -alias Encryption
-
-
Importare "`c:` temp cognos.crt" in dwh trustore per stabilire la comunicazione SSL tra Cognos e DWH, utilizzando la finestra del prompt Admin CMD.
-
"D: File di programma/SANscreen/java/bin/keytool.exe" -importcert -file “c: Temp/cognos.crt” -keystore "D: File di programma/SANscreen/wildfly/standalone/configurazione/server.trustore" -storepass changeit -alias cognoschert
-
-
Riavviare il servizio SANscreen.
-
Eseguire un backup di DWH per assicurarsi che DWH comunichi con Cognos.