スマート カード(CAC)および証明書によるログインをサポートするには、OnCommand Insightホストの設定を変更する必要があります。
開始する前に
- システムでLDAPが有効になっている必要があります。
- LDAPのUser principal account name属性で、ユーザのIDが格納されたLDAPフィールドを照合する必要があります。
手順
- regeditユーティリティを使用して、HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software
Foundation\Procrun2.0\SANscreen Server\Parameters\Javaのレジストリ値を変更します。
- JVM_Option DclientAuth=falseをDclientAuth=trueに変更します。
- キーストア ファイルをバックアップします。C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore
- コマンド プロンプトを開き、次のように指定します。Run as administrator
- 自己生成証明書を削除します。C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore
- 新しい証明書を生成します。C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey
-alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048
-validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName"
- 証明書署名要求を生成します。 C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"
-file C:\temp\server.csr"
- CSRが返されたら、証明書をインポートしてBase-64形式でエクスポートし、servername.cerの形式で名前を付けて「C:\temp」に保存します。
- キーストアからの証明書を抽出します。 C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore ""C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore"" -srcalias "alias_name"
-destkeystore "C:\temp\file.p12" -deststoretype PKCS12
- p12ファイルから秘密鍵を抽出します。 openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem"
- 証明書を秘密鍵とマージします。openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz"
- マージした証明書をキーストアにインポートします。C:\Program Files\SANscreen\java64\bin\keytool.exe -importkeystore -destkeystore "C:\Program Files\SANscreen\java64\bin\keytool.exe" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name"
- ルート証明書をインポートします。C:\Program Files\SANscreen\java64\bin\keytool.exe -importkeysotre -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name"
- 中間Eメール証明書をインポートします。C:\Program Files\SANscreen\java64\bin\keytool.exe -importkeysotre -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.truststore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name"
すべての中間Eメール証明書について、同じ手順を繰り返します。
- 中間証明書をインポートします。C:\Program Files\SANscreen\java64\bin\keytool.exe -importkeysotre -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.truststore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"
すべての中間証明書について、同じ手順を繰り返します。
- LDAPでこの例と一致するようにドメインを指定します。
- サーバを再起動します。