Skip to main content
OnCommand Insight
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Importação de certificados SSL assinados pela CA para Cognos e DWH (Insight 7.3.10 e posterior)

Colaboradores
PDFs

Você pode adicionar certificados SSL para habilitar autenticação e criptografia aprimoradas para seu ambiente Data Warehouse e Cognos.

Antes de começar

Este procedimento destina-se a sistemas que executam o OnCommand Insight 7.3.10 e posterior.

Observação

Para obter as instruções de CAC e certificado mais atualizadas, consulte os seguintes artigos da base de conhecimento (login de suporte necessário):

Sobre esta tarefa

Tem de ter admin Privileges para executar este procedimento.

Passos

  1. Pare o Cognos usando a ferramenta IBM Cognos Configuration. Feche o Cognos.

  2. Crie cópias de segurança das ..\SANScreen\cognos\analytics\configuration pastas e. ..\SANScreen\cognos\analytics\temp\cam\freshness

  3. Gerar uma solicitação de criptografia de certificado do Cognos. Em uma janela Admin CMD, execute:

    1. cd “\Program Files\sanscreen\cognos\analytics\bin”

    2. ThirdPartyCertificateTool.bat -java:local -c -e -p <password> -a RSA -r c:\temp\encryptRequest.csr -d “CN=server.domain.com,O=NETAPP,C=US” -H “server.domain.com” -I “ipaddress”. Nota: Aqui -H e -I são para adicionar subjetivAltNames como dns e ipaddress.

    3. Para <password>, use a senha do arquivo /SANscreen/bin/cognos_info.dat.

  4. Abra o c:\temp\encryptRequest.csr arquivo e copie o conteúdo gerado.

  5. Insira o conteúdo cryptRequest.csr e gere o certificado usando o portal de assinatura CA.

  6. Faça o download dos certificados em cadeia incluindo o certificado raiz usando o formato PKCS7

    Isso fará o download do arquivo fqdn.p7b

  7. Obtenha um cert no formato .p7b da sua CA. Use um nome que o marque como o certificado para o servidor Web do Cognos.

  8. O ThirdPartyCertificateTool.bat não importa toda a cadeia, portanto são necessárias várias etapas para exportar todos os certificados. Divida a cadeia exportando-as individualmente da seguinte forma:

    1. Abra o certificado .p7b em "Crypto Shell Extensions".

    2. Navegue no painel esquerdo para ""certificados"".

    3. Clique com o botão direito do rato em CA raiz > todas as tarefas > Exportar.

    4. Selecione Base64 saída.

    5. Insira um nome de arquivo identificando-o como o certificado raiz.

    6. Repita as etapas 8a a 8e para exportar todos os certificados separadamente para arquivos .cer.

    7. Nomeie os arquivos intermediateX.cer e cognos.cer.

  9. Ignore esta etapa se você tiver apenas um certificado de CA, caso contrário, mesclar root.cer e intermediateX.cer em um arquivo.

    1. Abra o root.cer com o bloco de notas e copie o conteúdo.

    2. Abra o Intermediate.cer com o bloco de notas e anexe o conteúdo do 9a (intermediário primeiro e raiz seguinte).

    3. Salve o arquivo como chain.cer.

  10. Importe os certificados para o keystore do Cognos usando o prompt Admin CMD:

    1. cd "arquivos de programas" SANscreen

    2. ThirdPartyCertificateTool.bat -Java:local -i -T -r c: /Temp/root.cer

    3. ThirdPartyCertificateTool.bat -Java:local -i -T -r c: /Temp/intermediate.cer

    4. ThirdPartyCertificateTool.bat -Java:local -i -e -r c

  11. Abra a configuração do IBM Cognos.

    1. Selecione Configuração local-→ Segurança -→ criptografia -→ Cognos

    2. Altere "usar CA de terceiros?" para verdadeiro.

    3. Salve a configuração.

    4. Reinicie o Cognos

  12. Exporte o certificado Cognos mais recente para o cognos.crt usando o prompt Admin CMD:

    1. cd "C: Arquivos de programas" SANscreen

    2. -Storetype PKCS12 -storeppass <password> -alias Encryption keytool.exe

    3. Para <password>, use a senha do arquivo /SANscreen/bin/cognos_info.dat.

  13. Faça uma cópia de segurança da trustore do servidor DWH em..\SANscreen\wildfly\standalone\configuration\server.trustore

  14. Importe o arquivo "'c: cognos.crt" para o repositório DWH para estabelecer uma comunicação SSL entre o Cognos e o DWH, usando a janela de prompt do Admin CMD.

    1. cd "C: Arquivos de programas" SANscreen

    2. keytool.exe -importcert -file c: /temp/cognos.crt -keystore wildfly/standalone/configuration/server.trustore -storeppass <password> -alias cognos3rdca

    3. Para <password>, use a senha do arquivo /SANscreen/bin/cognos_info.dat.

  15. Reinicie o serviço SANscreen.

  16. Execute um backup da DWH para garantir que a DWH se comunique com o Cognos.

  17. As etapas a seguir devem ser executadas mesmo quando apenas o "certificado ssl" é alterado e os certificados padrão do Cognos são mantidos inalterados. Caso contrário, a Cognos pode reclamar do novo certificado SANscreen ou não conseguir criar um backup DWH.

    1. cd “%SANSCREEN_HOME%cognos\analytics\bin\”

    2. “%SANSCREEN_HOME%java64\bin\keytool.exe” -exportcert -file “c:\temp\sanscreen.cer” -keystore “%SANSCREEN_HOME%wildfly\standalone\configuration\server.keystore” -storepass <password> -alias “ssl certificate”

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r “c:\temp\sanscreen.cer”

    Normalmente, essas etapas são executadas como parte do processo de importação de certificados Cognos descrito em "Como importar um certificado assinado pela autoridade de certificação (CA) do Cognos para o datawarehouse 7.3.3 e posterior do OnCommand"