Show Menu
SUJETS×

Magasin de certificats Windows

Le magasin de certificats Windows ne permet pas de stocker le certificat du client et sa clé privée dans le magasin de certificats Windows pour la communication SSL avec les serveurs.
Le magasin de certificats Windows pour le client est une nouvelle fonctionnalité qui vous permet de stocker le certificat de communication SSL et la clé privée dans le magasin de certificats Windows plutôt que dans un Insight/Certificates/<CertName>.pem fichier. Il peut être préférable d’utiliser le magasin de certificats Windows si vous utilisez le magasin de certificats pour d’autres applications et souhaitez gérer les certificats au même endroit, ou pour les utilisateurs qui bénéficient de la journalisation d’audit Windows supplémentaire fournie par le magasin de certificats Windows.
Les licences avec le serveur de licences sont toujours conservées à l’aide du <Common Name>.pem fichier existant et le certificat obtenu à partir du magasin de certificats ne sera utilisé que pour la communication aux serveurs que vous spécifiez.

Conditions préalables

  1. Vous devez avoir accès au certmgr.msc fichier avec la possibilité d’importer un certificat et une clé dans le magasin personnel . (Cela doit être vrai par défaut pour la plupart des utilisateurs de Windows.)
  2. L’utilisateur effectuant la configuration doit disposer d’une copie de l’outil de ligne de commande OpenSSL .
  3. Le serveur et le client doivent déjà être configurés pour utiliser un certificat SSL personnalisé, comme décrit à la section Utilisation de certificats personnalisés, qui donne des instructions pour stocker le certificat client dans le magasin de certificats Windows au lieu de le stocker dans le répertoire Certificats .

Configuration du magasin de certificats Windows

Le magasin de certificats Windows pour les clients est activé en procédant comme suit :
Étape 1 : Importez le certificat SSL et la clé privée de l’utilisateur dans le magasin de certificats Windows.
Dans Utilisation des certificats personnalisés, vous êtes invité à placer le certificat et la clé SSL dans le répertoire suivant :
< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

Le nom du certificat est <Common Name>.pem (par exemple Analytics Server 1.pem (et non le trust_ca_cert.pem fichier).
Avant de pouvoir importer le certificat et la clé privée, ils doivent être convertis à partir de . pem dans un .pfx format, par exemple pkcs12.pfx ).
  1. Ouvrez une invite de commande ou un terminal et accédez au répertoire :
    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
    
  2. Exécutez openssl avec les arguments suivants (avec le nom .pem de fichier réel) :
    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    
    
    Si vous y êtes invité, appuyez sur Entrée pour ignorer la saisie d’un mot de passe d’exportation.
  3. Exécutez certmgr.msc à partir de l’invite d’exécution, du menu de démarrage ou de la ligne de commande.
  4. Ouvrez le magasin de certificats personnels pour l’utilisateur actuel.
  5. Cliquez avec le bouton droit de la souris sur Certificats et cliquez sur Toutes les tâches > Importer .
    Assurez-vous que l’option Utilisateur ​actuel est sélectionnée, puis cliquez sur Suivant .
  6. Cliquez sur Parcourir et sélectionnez le <CommonName>.pfx fichier que vous avez créé précédemment. Vous devrez changer la liste déroulante des extensions de fichier d'un certificat X.509 à un échange de renseignements personnels ou à tous les fichiers pour pouvoir le voir.
    Sélectionnez le fichier, cliquez sur Ouvrir , puis sur Suivant .
  7. N’entrez pas de mot de passe et assurez-vous que seules les options Marquer cette clé comme exportable et Inclure toutes les propriétés étendues sont sélectionnées.
    Cliquez sur Suivant .
  8. Assurez-vous que l’option Placer tous les certificats dans le magasin suivant est sélectionnée et que le magasin de certificats répertorié est Personnel . (Si vous êtes un utilisateur avancé, vous pouvez sélectionner un autre magasin à ce stade, mais vous devrez modifier la configuration ultérieurement.)
  9. Cliquez sur Suivant , puis sur Terminer . Une boîte de dialogue s’affiche pour vous informer que l’importation a réussi et afficher votre certificat dans le dossier Certificats de la boutique.
    Prêtez une attention particulière aux champs Délivrance à et Délivrance par . Vous en aurez besoin à l'étape suivante.
Étape 2 : Modifiez le fichier Insight.cfg.
Le Insight.cfg fichier doit être modifié pour que les outils de données puissent utiliser la fonction du magasin de certificats Windows. Certains paramètres supplémentaires doivent être spécifiés pour chaque entrée de serveur dans ce fichier. Si les paramètres sont omis, le poste de travail utilise par défaut la configuration de certificat existante. Si les paramètres sont spécifiés mais que les valeurs sont incorrectes, le poste de travail saisit un état d'erreur et vous devrez vous reporter au fichier journal pour obtenir des informations sur l'erreur.
  1. Ouvrez le fichier Insight.cfg (situé dans le répertoire d’installation d’ Insight ).
  2. Faites défiler l’écran jusqu’à l’entrée du serveur que vous souhaitez configurer. Si vous souhaitez utiliser le magasin de certificats Windows pour chaque serveur, vous devez apporter ces modifications à chaque entrée dans le vecteur des serverInfo objets.
  3. Ajoutez ces paramètres à leur Insight.cfg fichier. Vous pouvez effectuer cette opération à partir du poste de travail ou manuellement en ajoutant les paramètres suivants à l' serverInfo objet. (Veillez à utiliser des espaces au lieu de caractères de tabulation, et ne renseignez pas d'autres erreurs typographiques ou de syntaxe dans ce fichier. )
    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    
    
    La valeur booléenne active ou désactive la fonction. Le nom du certificat correspond à Issuer To dans le gestionnaire de certificats. Le nom de l’émetteur du certificat correspond à Émis par et le nom de la boutique doit correspondre au nom du magasin de certificats.
    Le nom "Personnel" dans le Gestionnaire de certificats (certmgr.msc) fait en fait référence au magasin de certificats nommé Mon. Par conséquent, si vous importez votre clé et votre certificat de communication SSL (.PFX) dans le magasin de certificats personnels comme recommandé, vous devez définir la chaîne Nom du magasin de certificats SSL CryptoAPI sur "Mon". La définition de ce paramètre sur "Personnel" ne fonctionnera pas. Il s’agit d’une particularité du magasin de certificats Windows.
    Une liste complète des magasins système prédéfinis peut être obtenue ici : https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx . Il se peut que votre système dispose de magasins de certificats supplémentaires. Si vous souhaitez utiliser un magasin autre que "Personnel" (comme Mon ), vous devez obtenir le nom canonique du magasin de certificats et le fournir dans le Insight.cfg fichier. (Le nom de stockage système "Mon" est incohérent, appelé "Mon" et "MY" par la documentation Windows. Le paramètre ne semble pas être sensible à la casse.)
  4. Après avoir ajouté ces paramètres et vérifié que les valeurs correspondent à la liste dans le Gestionnaire de certificats Windows, enregistrez le Insight.cfg fichier.
Vous pouvez maintenant démarrer la station de travail (ou vous déconnecter/reconnecter au serveur). Les outils de données doivent charger votre certificat et votre clé depuis le magasin de certificats et se connecter normalement.

Sortie journal

Lorsqu’un certificat est introuvable ou non valide, ce message d’erreur est envoyé au HTTP.log fichier.
ERROR Fatal error: the cert could not be found!

La structure de journalisation L4 peut être activée en configurant le L4.cfg fichier (voir votre gestionnaire de compte pour la configurer).