Show Menu
ARGOMENTI×

Archivio certificati di Windows

L'archivio certificati di Windows consente di memorizzare il certificato del client e la chiave privata nell'archivio certificati di Windows per la comunicazione SSL con i server.
L'archivio certificati di Windows per il client è una nuova funzione che consente di memorizzare il certificato di comunicazione SSL e la chiave privata nell'archivio certificati di Windows anziché nel Insight/Certificates/<CertName>.pem file. L'utilizzo dell'archivio certificati di Windows potrebbe essere preferibile se si utilizza l'archivio certificati per altre applicazioni e si desidera eseguire la gestione certificati in un'unica posizione, oppure per gli utenti che dispongono dell'accesso al controllo di Windows aggiuntivo fornito dall'archivio certificati di Windows.
La licenza con il server licenze viene mantenuta utilizzando il <Common Name>.pem file esistente e il certificato ottenuto dall'archivio certificati verrà utilizzato solo per la comunicazione ai server specificati.

Prerequisiti

  1. È necessario avere accesso al certmgr.msc file con la possibilità di importare un certificato e una chiave nello store Personale . (Deve essere vero per impostazione predefinita per la maggior parte degli utenti Windows).
  2. L'utente che esegue la configurazione deve disporre di una copia dello strumento della riga di comando OpenSSL .
  3. Il server e il client devono già essere configurati per utilizzare un certificato SSL personalizzato, come descritto in Utilizzo di certificati personalizzati, fornendo istruzioni per memorizzare il certificato client nell'archivio certificati di Windows anziché archiviarlo nella directory Certificati .

Configurazione dell'archivio certificati di Windows

L'archivio certificati di Windows per i client è attivato seguendo la procedura seguente:
Passaggio 1: Importa il certificato SSL dell'utente e la chiave privata nell'archivio certificati di Windows.
In Utilizzo di certificati personalizzati si è invitati a inserire il certificato SSL e la chiave nella seguente directory:
< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

Il nome del certificato è <Common Name>.pem (ad esempio Analytics Server 1.pem (non il trust_ca_cert.pem file).
Prima di importare il certificato e la chiave privata, è necessario convertirli da . pem in un .pfx formato, ad esempio pkcs12.pfx ).
  1. Aprite un prompt dei comandi o un terminale e andate alla directory:
    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
    
  2. Eseguire openssl con i seguenti argomenti (con il nome effettivo del .pem file):
    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    
    
    Se richiesto, fate clic su Invio per saltare l’immissione di una password di esportazione.
  3. Eseguire certmgr.msc dalla riga di comando, dal menu Start o dal prompt di esecuzione.
  4. Aprite l'archivio certificati personali per l'utente corrente.
  5. Fare clic con il pulsante destro del mouse su Certificati e scegliere Tutte le attività > Importa .
    Accertatevi che l'opzione Utente ​corrente sia selezionata, quindi fate clic su Avanti .
  6. Fate clic su Sfoglia e selezionate il <CommonName>.pfx file creato in precedenza. Per visualizzarlo dovrete modificare la casella a discesa dell'estensione del file da un certificato X.509 a Personal Information Exchange o a Tutti i file .
    Selezionate il file e fate clic su Apri , quindi su Avanti .
  7. Non inserite una password e accertatevi che siano selezionate solo le opzioni Contrassegna la chiave come esportabile e Includi tutte le proprietà estese.
    Fai clic su Avanti .
  8. Accertatevi che Posizionate tutti i certificati nel seguente archivio sia selezionato e che l'archivio certificati elencato sia Personale . Se siete un utente avanzato, potete selezionare un altro store a questo punto, ma dovrete cambiare la configurazione in un secondo momento.
  9. Fare clic su Avanti , quindi su Fine . Viene visualizzata una finestra di dialogo in cui viene indicato che l'importazione è avvenuta correttamente e il certificato viene visualizzato nella cartella Certificati dello store.
    Prestare particolare attenzione ai campi Rilasciati e Rilasciati da . Ne avrete bisogno nel prossimo passo.
Passaggio 2: Modificate il file Insight.cfg.
È necessario modificare il Insight.cfg file per indirizzare l'Data Workbench all'utilizzo della funzione Archivio certificati di Windows. Per ogni voce del server in questo file devono essere specificati alcuni parametri aggiuntivi. Se i parametri vengono omessi, per impostazione predefinita la workstation utilizzerà la configurazione del certificato esistente. Se i parametri sono specificati ma hanno valori errati, la workstation immetterà uno stato di errore e dovrete fare riferimento al file di registro per le informazioni di errore.
  1. Aprite il file Insight.cfg (che si trova nella directory di installazione di Insight ).
  2. Scorrete verso il basso fino alla voce del server che desiderate configurare. Se si desidera utilizzare l'archivio certificati di Windows per ogni server, è necessario apportare queste modifiche a ogni voce nel vettore di serverInfo oggetti.
  3. Aggiungete questi parametri al Insight.cfg file. È possibile eseguire questa operazione dalla workstation o manualmente aggiungendo i seguenti parametri all' serverInfo oggetto. Assicuratevi di utilizzare gli spazi invece dei caratteri di tabulazione e di non eseguire altri errori tipografici o di sintassi in questo file. )
    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    
    
    Il valore booleano abilita o disabilita la funzione. Il nome del certificato corrisponde a Emittente nel gestore certificati. Il nome dell'emittente del certificato corrisponde a Emesso da e il nome ​archivio deve corrispondere al nome dell'archivio certificati.
    Il nome "Personale" nel Gestore dei certificati (certmgr.msc) in realtà fa riferimento all'archivio certificati denominato My. Di conseguenza, se importate il certificato di comunicazione SSL e la chiave (.PFX) nell'archivio certificati personale come consigliato, dovete impostare la stringa SSL CryptoAPI Cert Name su "My". L'impostazione di questo parametro su "Personale" non funzionerà. Questa è una particolarità dell'archivio certificati di Windows.
    Un elenco completo degli store di sistema predefiniti può essere ottenuto qui: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx . Nel sistema potrebbero essere presenti ulteriori archivi di certificati. Se si desidera utilizzare uno store diverso da "Personale" (ad esempio My ), è necessario ottenere il nome canonico dell'archivio certificati e fornirlo nel Insight.cfg file. (Il nome dell'archivio di sistema "My" viene spesso indicato come "My" e "MY" dalla documentazione di Windows. Il parametro non fa distinzione tra maiuscole e minuscole.
  4. Dopo aver aggiunto questi parametri e verificato che i valori corrispondano all'elenco in Gestione certificati di Windows, salvare il Insight.cfg file.
È ora possibile avviare la workstation (oppure disconnettersi/riconnettersi al server). L'Data Workbench deve caricare il certificato e la chiave dall'archivio certificati e connettersi normalmente.

Uscita log

Se un certificato non viene trovato o non è valido, il messaggio di errore viene inviato al HTTP.log file.
ERROR Fatal error: the cert could not be found!

Il framework di registrazione L4 può essere attivato configurando il L4.cfg file (consultate il vostro account manager per configurare questa impostazione).