Configurando hosts para Smart Card e login de certificado
Sugerir alterações
PDFs
Você deve fazer modificações na configuração do host do OnCommand Insight para oferecer suporte a logins de cartão inteligente (CAC) e certificado.
Antes de começar
-
O LDAP tem de estar ativado no sistema.
-
O atributo LDAP
User principal account namedeve corresponder ao campo LDAP que contém a ID de um usuário.
|
Se você alterou as senhas Server.keystore e/ou Server.trustore usando "administrador de segurança"o , reinicie o serviço SANscreen antes de importar o certificado LDAP. |
|
|
Para obter as instruções de CAC e certificado mais atualizadas, consulte os seguintes artigos da base de conhecimento (login de suporte necessário): |
Passos
-
Use o
regeditutilitário para modificar os valores do Registro noHKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java:-
Altere a opção JVM_Option
DclientAuth=falseparaDclientAuth=true.
-
-
Faça backup do arquivo keystore:
C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore -
Abra um prompt de comando especificando
Run as administrator -
Excluir o certificado gerado automaticamente:
C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore -
Gerar um novo certificado:
C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName" -
Gerar uma solicitação de assinatura de certificado (CSR):
C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr" -
Depois que o CSR for devolvido na etapa 6, importe o certificado e, em seguida, exporte o certificado no formato base-64 e coloque-o em
"C:\temp" named servername.cer. -
Extraia o certificado do keystore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12 -
Extraia uma chave privada do arquivo p12:
openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem" -
Mesclar o certificado base-64 que você exportou na etapa 7 com a chave privada:
openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz" -
Importe o certificado mesclado para o keystore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name" -
Importar o certificado raiz:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name" -
Importe o certificado raiz para o Server.trustore:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name" -
Importar o certificado intermédio:
C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"Repita esta etapa para todos os certificados intermediários.
-
Especifique o domínio no LDAP para corresponder a este exemplo.
-
Reinicie o servidor.