Skip to main content
OnCommand Insight
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Importazione di certificati SSL con firma CA per Cognos e DWH (Insight da 7.3.5 a 7.3.9)

Collaboratori
PDF

È possibile aggiungere certificati SSL per abilitare l'autenticazione e la crittografia avanzate per l'ambiente Data Warehouse e Cognos.

Prima di iniziare

Questa procedura si applica ai sistemi che eseguono OnCommnand Insight dalla versione 7.3.5 alla 7.3.9.

Nota

Per le istruzioni più aggiornate sul CAC e sul certificato, consulta i seguenti articoli della Knowledge base (è richiesto l'accesso al supporto):

A proposito di questa attività

Per eseguire questa procedura, è necessario disporre dei privilegi di amministratore.

Fasi

  1. Creare un backup di ..\SANScreen\cognos\analytics\configuration\cogstartup.xml.

  2. Creare un backup delle cartelle “certs” e “csk” in ..\ SANScreen\cognos\analytics\configuration.

  3. Generare una richiesta di crittografia del certificato da Cognos. In una finestra Admin CMD, eseguire:

    1. cd “\Program Files\sanscreen\cognos\analytics\bin”

    2. ThirdPartyCertificateTool.bat -java:local -c -e -p NoPassWordSet -a RSA -d “CN=FQDN,O=orgname,C=US” -r c:\temp\encryptRequest.csr

  4. Aprire c:\temp\encryptRequest.csr archiviare e copiare il contenuto generato.

  5. Inviare il file EncryptRequest.csr all'autorità di certificazione (CA) per ottenere un certificato SSL.

    Assicurarsi di aggiungere altri attributi come “SAN:dns=FQDN (ad esempio, hostname.netapp.com)” per aggiungere SubjectAltName). Google Chrome versione 58 e successive si lamenta se SubjectAltName non è presente nel certificato.

  6. Scarica i certificati della catena includendo il certificato root utilizzando il formato PKCS7

    In questo modo si scarica il file fqdn.p7b

  7. Ottenere un certificato in formato .p7b dalla CA. Utilizzare un nome che lo contrassegna come certificato per il server Web Cognos.

  8. ThirdPartyCertificateTool.bat non riesce ad importare l'intera catena, pertanto sono necessari più passaggi per esportare tutti i certificati. Suddividere la catena esportandole singolarmente come segue:

    1. Aprire il certificato .p7b in “Crypto Shell Extensions”.

    2. Selezionare “Certificates” nel riquadro sinistro.

    3. Fare clic con il pulsante destro del mouse su CA principale > tutte le attività > Esporta.

    4. Selezionare l'output Base64.

    5. Immettere un nome di file che lo identifichi come certificato root.

    6. Ripetere i passaggi da 8a a 8c per esportare tutti i certificati separatamente in file .cer.

    7. Assegnare un nome ai file intermediateX.cer e cognos.cer.

  9. Ignorare questo passaggio se si dispone di un solo certificato CA, altrimenti unire sia root.cer che intermediateX.cer in un unico file.

    1. Aprire Intermediate.cer con blocco note e copiare il contenuto.

    2. Aprire root.cer con blocco note e salvare il contenuto da 9a.

    3. Salvare il file come CA.cer.

  10. Importare i certificati nel keystore Cognos utilizzando il prompt Admin CMD:

    1. cd "`Program Files/sanscreen/cognos/Analytics` bin"

    2. ThirdPartyCertificateTool.bat -java:local -i -T -r c

      In questo modo, CA.cer viene impostato come autorità di certificazione principale.

    3. ThirdPartyCertificateTool.bat -java:local -i -e -r c

      In questo modo, Cognos.cer viene impostato come certificato di crittografia firmato da CA.cer.

  11. Aprire IBM Cognos Configuration.

    1. Selezionare Local Configuration (Configurazione locale)-→ Security (protezione) -→ Cryptography (crittografia) -→ Cognos

    2. Modifica “Usa CA di terze parti?” Su vero.

    3. Salvare la configurazione.

    4. Riavviare Cognos

  12. Esportare il certificato Cognos più recente in cognos.crt utilizzando il prompt Admin CMD:

    1. "D: File di programma/SANscreen/java/bin/keytool.exe" -exportcert -file “c: Temp/cognos.crt” -keystore "D: File di programma/SANscreen/cognos/analytics/Configuration/CAMKeystore" -storetype PKCS12 -storepass NoPassSet -alias Encryption

  13. Importare "`c:` temp cognos.crt" in dwh trustore per stabilire la comunicazione SSL tra Cognos e DWH, utilizzando la finestra del prompt Admin CMD.

    1. "D: File di programma/SANscreen/java/bin/keytool.exe" -importcert -file “c: Temp/cognos.crt” -keystore "D: File di programma/SANscreen/wildfly/standalone/configurazione/server.trustore" -storepass changeit -alias cognoschert

  14. Riavviare il servizio SANscreen.

  15. Eseguire un backup di DWH per assicurarsi che DWH comunichi con Cognos.