Skip to main content
OnCommand Insight
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定主機以進行智慧卡和憑證登入

貢獻者
PDF

您必須修改OnCommand Insight 支援Smart Card(CAC)和憑證登入的整套主機組態。

開始之前

  • 必須在系統上啟用LDAP。

  • LDAP User principal account name 屬性必須符合包含使用者ID的LDAP欄位。

註 如果使用更改了 server.keystore 和 / 或 _server.trustore 密碼"安全性管理",請 SANscreen 在導入 LDAP 證書之前重新啓動 _LDAP 服務。
註

如需最新的CAC和憑證指示、請參閱下列知識庫文章(需要支援登入):

步驟

  1. 使用 regedit 用於修改中登錄值的公用程式 HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Apache Software Foundation\Procrun2.0\SANscreen Server\Parameters\Java

    1. 變更JVM_Option DclientAuth=falseDclientAuth=true.

  2. 備份Keystore檔案: C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore

  3. 開啟命令提示字元以指定 Run as administrator

  4. 刪除自行產生的憑證: C:\Program Files\SANscreen\java64\bin\keytool.exe -delete -alias "ssl certificate" -keystore C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore

  5. 產生新的憑證: C:\Program Files\SANscreen\java64\bin\keytool.exe -genkey -alias "alias_name" -keyalg RSA -sigalg SHA1withRSA -keysize 2048 -validity 365 -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -dname "CN=commonName,OU=orgUnit,O=orgName,L=localityNameI,S=stateName,C=countryName"

  6. 產生憑證簽署要求(CSR): C:\Program Files\SANscreen\java64\bin\keytool.exe -certreq -sigalg SHA1withRSA -alias "alias_name" -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file C:\temp\server.csr"

  7. 在步驟6中傳回CSR之後、匯入憑證、然後以Base -64格式匯出憑證、並將其放入其中 "C:\temp" named servername.cer

  8. 從Keystore擷取憑證:C:\Program Files\SANscreen\java64\bin\keytool.exe -v -importkeystore -srckeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srcalias "alias_name" -destkeystore "C:\temp\file.p12" -deststoretype PKCS12

  9. 從p12檔案擷取私密金鑰: openssl pkcs12 -in "C:\temp\file.p12" -out "C:\temp\servername.private.pem"

  10. 將您在步驟7中匯出的Base 64憑證與私密金鑰合併: openssl pkcs12 -export -in "<folder>\<certificate>.cer" -inkey "C:\temp\servername.private.pem" -out "C:\temp\servername.new.p12" -name "servername.abc.123.yyy.zzz"

  11. 將合併的憑證匯入Keystore: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -destkeystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -srckeystore "C:\temp\servername.new.p12" -srcstoretype PKCS12 -alias "alias_name"

  12. 匯入根憑證: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.keystore" -file "C:\<root_certificate>.cer" -trustcacerts -alias "alias_name"

  13. 將根憑證匯入server.trustore: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<email_certificate>.cer" -trustcacerts -alias "alias_name"

  14. 匯入中繼憑證: C:\Program Files\SANscreen\java64\bin\keytool.exe -importcert -keystore "C:\Program Files\SANscreen\wildfly\standalone\configuration\server.trustore" -file "C:\<intermediate_certificate>.cer" -trustcacerts -alias "alias_name"

    對所有中繼憑證重複此步驟。

  15. 在LDAP中指定與此範例相符的網域。

  16. 重新啟動伺服器。