Skip to main content
OnCommand Insight
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

导入Cognos和DWH的CA签名SSL证书(Insight 7.3.10及更高版本)

贡献者
PDF

您可以添加SSL证书、以便为数据仓库和Cognos环境启用增强型身份验证和加密。

开始之前

此操作步骤 适用于运行OnCommand Insight 7.3.10及更高版本的系统。

备注

有关最新的CAC和证书说明、请参见以下知识库文章(需要支持登录):

关于此任务

要执行此操作步骤 、您必须具有管理员权限。

步骤

  1. 使用IBM Cognos配置工具停止Cognos。关闭Cognos。

  2. 创建的备份 ..\SANScreen\cognos\analytics\configuration..\SANScreen\cognos\analytics\temp\cam\freshness 文件夹。

  3. 从Cognos生成证书加密请求。在管理CMD窗口中、运行:

    1. CD “\Program Files\sanscreen\cognos\analytics\bin”

    2. ThirdPartyCertificateTool.bat -java:local -c -e -p <password> -a RSA -r c:\temp\encryptRequest.csr -d “CN=server.domain.com,O=NETAPP,C=US” -H “server.domain.com” -I “ipaddress”(英文)注意:此处的-H和-i将添加subjectAltNames、例如DNS和ipaddress。

    3. 对于<password>、请使用SANscreen /bin/Cognos_info.dAT_文件中的密码。

  4. 打开 c:\temp\encryptRequest.csr 归档并复制生成的内容。

  5. 输入encryptRequest.csr内容并使用CA签名门户生成证书。

  6. 使用PKCS7格式包含根证书以下载链证书

    此操作将下载FQDN.p7b文件

  7. 从CA获取.p7b格式的证书。请使用一个名称将其标记为Cognos Web服务器的证书。

  8. ThirdPartyCertificateTool.bat无法导入整个链、因此导出所有证书需要执行多个步骤。按如下所示单独导出链、从而拆分链:

    1. 在"`Crypto Shell扩展名`"中打开.p7b证书。

    2. 在左窗格中浏览到"`Certificates`"。

    3. 右键单击根CA >所有任务>导出。

    4. 选择Base64输出。

    5. 输入一个文件名、将其标识为根证书。

    6. 重复步骤8a到8e、将所有证书单独导出到.cer文件中。

    7. 将文件命名为intermediateX.cer和Cognos.cer。

  9. 如果只有一个CA证书、请忽略此步骤、否则、请将root.cer和intermediateX.cer合并到一个文件中。

    1. 使用Notepad打开root.cer并复制内容。

    2. 使用Notepad打开intermediate.cer、然后附加9a中的内容(中间优先、根下一个)。

    3. 将文件另存为chain.cer。

  10. 使用管理CMD提示符将证书导入到Cognos密钥库中:

    1. cd “Program Files\SANscreen\cognos\Analytics \bin”

    2. ThirdPartyCertificateTool.bat -java:local -i -T -r c:\temp\root.cer

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r c:\temp\intermediate.cer

    4. ThirdPartyCertificateTool.bat -java:local -i -e -r c:\temp\cognos.cer -t c:\temp\chain.cer

  11. 打开IBM Cognos配置。

    1. 选择本地配置→安全性→加密→ Cognos

    2. 更改"`使用第三方CA?`" 设置为True。

    3. 保存配置。

    4. 重新启动Cognos

  12. 使用管理CMD提示符将最新的Cognos证书导出到Cognos.crt:

    1. CD "`C:\Program Files\SANscreen"

    2. java\bin\exportcert keytool.exe -file c:\temp\cognos.crt -keystore Cognos\Analytics \certs\CAMKeystore -storetype PKCS12 -storepass <password>-alias Encryption

    3. 对于<password>、请使用SANscreen /bin/Cognos_info.dAT_文件中的密码。

  13. 备份DWH服务器数据存储库..\SANscreen\wildfly\standalone\configuration\server.trustore

  14. 使用管理CMD提示符窗口将"`c:\temp\cognos.crt`"导入到DWH存储中、以便在Cognos和DWH之间建立SSL通信。

    1. CD "`C:\Program Files\SANscreen"

    2. java\bin\importcert keytool.exe -file c:\temp\cognos.crt -keystore poldfly\standalone\calone\cass配置\server.trustore -storepass <password>-al个别 名cognos3rdca

    3. 对于<password>、请使用SANscreen /bin/Cognos_info.dAT_文件中的密码。

  15. 重新启动SANscreen 服务。

  16. 执行DWH备份以确保DWH与Cognos通信。

  17. 即使仅更改了`sSL证书`且默认Cognos证书保持不变、也应执行以下步骤。否则、Cognos可能会抱怨新的SANscreen 证书或无法创建DWH备份。

    1. cd “%SANSCREEN_HOME%cognos\analytics\bin\”

    2. “%SANSCREEN_HOME%java64\bin\keytool.exe” -exportcert -file “c:\temp\sanscreen.cer” -keystore “%SANSCREEN_HOME%wildfly\standalone\configuration\server.keystore” -storepass <password> -alias “ssl certificate”

    3. ThirdPartyCertificateTool.bat -java:local -i -T -r “c:\temp\sanscreen.cer”

    通常、这些步骤会在中所述的Cognos证书导入过程中执行 "如何将Cognos证书颁发机构(CA)签名证书导入到OnCommand 数据中心7.3.3及更高版本中"