Show Menu
TÓPICOS×

Loja de certificados do Windows

O Windows Certificate Store permite que você armazene o certificado do cliente e a chave privada no Windows Certificate Store para comunicação SSL com servidores.
O Windows Certificate Store para o Cliente é um novo recurso que permite armazenar o certificado de comunicação SSL e a chave privada no Windows Certificate Store em vez de no Insight/Certificates/<CertName>.pem arquivo. O uso do Windows Certificate Store pode ser preferível se você usar o repositório de certificados para outros aplicativos e desejar fazer o gerenciamento de certificados em um local, ou para usuários que desfrutam do registro de auditoria adicional do Windows fornecido pelo Windows Certificate Store.
O licenciamento com o servidor de licenças ainda é mantido usando o <Common Name>.pem arquivo existente e o certificado obtido do repositório de certificados será usado apenas para comunicação com os servidores especificados.

Pré-requisitos

  1. Você deve ter acesso ao certmgr.msc arquivo com a capacidade de importar um certificado e uma chave para a loja Pessoal . (Isso deve ser verdadeiro por padrão para a maioria dos usuários do Windows.)
  2. O usuário que faz a configuração deve ter uma cópia da ferramenta de linha de comando OpenSSL .
  3. O servidor e o cliente já devem estar configurados para usar um certificado SSL personalizado, conforme descrito em Usando certificados personalizados, dando instruções para armazenar o certificado do cliente no repositório de certificados do Windows em vez de armazená-lo no diretório Certificados .

Configuração do Windows Certificate Store

O Windows Certificate Store para Clientes está ativado seguindo estas etapas:
Etapa 1: Importe o certificado SSL e a chave privada do usuário para o Windows Certificate Store.
Em Usando certificados personalizados, você é direcionado a colocar o certificado SSL e a chave no seguinte diretório:
< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

O nome do certificado é <Common Name>.pem (como Analytics Server 1.pem (não o trust_ca_cert.pem arquivo).
Antes que o certificado e a chave privada possam ser importados, eles devem ser convertidos de . pem para um .pfx formato, como pkcs12.pfx ).
  1. Abra um prompt de comando ou terminal e navegue até o diretório:
    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
    
  2. Execute openssl com os seguintes argumentos (com o nome do .pem arquivo real):
    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    
    
    Se solicitado, pressione Enter para ignorar a inserção de uma senha de exportação.
  3. Executar certmgr.msc a partir do prompt de execução, do menu start ou da linha de comando.
  4. Abra o repositório de certificados pessoais para o usuário atual.
  5. Clique com o botão direito do mouse em Certificados e clique em Todas as Tarefas > Importar .
    Verifique se a opção Usuário ​atual está selecionada e clique em Avançar .
  6. Clique em Procurar e selecione o <CommonName>.pfx arquivo criado anteriormente. Será necessário alterar a caixa suspensa de extensão de arquivo de um Certificado X.509 para o Personal Information Exchange ou para Todos os arquivos para visualizá-lo.
    Selecione o arquivo e clique em Abrir e em Avançar .
  7. Não digite uma senha e verifique se apenas as opções Marcar essa chave como exportável e Incluir todas as propriedades estendidas estão selecionadas.
    Clique em Próximo .
  8. Certifique-se de que a opção Colocar todos os certificados na seguinte loja esteja selecionada e que o repositório de certificados listado seja Pessoal . (Se você for um usuário avançado, poderá selecionar outra loja nesse ponto, mas será necessário alterar a configuração posteriormente.)
  9. Clique em Avançar e em Concluir . Você deve ver uma caixa de diálogo informando que a importação foi bem-sucedida e ver seu certificado na pasta Certificados da loja.
    Preste especial atenção aos campos Emitido para e Emitido por . Você vai precisar deles no próximo passo.
Etapa 2: Edite o arquivo Insight.cfg.
O Insight.cfg arquivo deve ser editado para direcionar a Data Workbench a usar o recurso Windows Certificate Store. Cada entrada de servidor neste arquivo deve ter alguns parâmetros adicionais especificados. Se os parâmetros forem omitidos, a estação de trabalho usará a configuração de certificado existente como padrão. Se os parâmetros forem especificados, mas tiverem valores incorretos, a estação de trabalho informará um estado de erro e você precisará consultar o arquivo de log para obter informações sobre erros.
  1. Abra o arquivo Insight.cfg (localizado no diretório de instalação do Insight ).
  2. Role para baixo até a entrada do servidor que você deseja configurar. Se você quiser usar o Windows Certificate Store para cada servidor, é necessário fazer essas modificações em cada entrada no vetor de serverInfo objetos.
  3. Adicione esses parâmetros ao seu Insight.cfg arquivo. Você pode fazer isso a partir da estação de trabalho ou manualmente adicionando os seguintes parâmetros ao serverInfo objeto. (Não se esqueça de usar espaços em vez de caracteres de tabulação e não cometa outros erros tipográficos ou de sintaxe neste arquivo. )
    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    
    
    O booliano ativa ou desativa o recurso. O nome do certificado corresponde ao Emissor para no gerenciador de certificados. O nome do emissor do certificado corresponde a Emitido por , e o Nome da loja deve corresponder ao nome do repositório do certificado.
    O nome "Pessoal" no Gerenciador de certificados (certmgr.msc) se refere ao armazenamento de certificados chamado My. Consequentemente, se você importar seu certificado de comunicação SSL e sua chave (.PFX) para o repositório de certificados Pessoal , conforme recomendado, deverá definir a string SSL CryptoAPI Cert Store Name como "My". A definição deste parâmetro para "Pessoal" não funcionará. Esta é uma peculiaridade do repositório de certificados do Windows.
    Uma lista completa dos armazenamentos predefinidos do sistema pode ser obtida aqui: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx . Seu sistema pode ter armazenamentos de certificados adicionais. Se quiser usar uma loja diferente de "Pessoal" (como Meu ), você deve obter o nome canônico do repositório de certificados e fornecê-lo no Insight.cfg arquivo. (O nome da loja do sistema "My" é chamado inconsistentemente de "My" e "MY" pela documentação do Windows. O parâmetro não parece fazer distinção entre maiúsculas e minúsculas.)
  4. Depois de adicionar esses parâmetros e verificar se os valores correspondem à lista no Gerenciador de certificados do Windows, salve o Insight.cfg arquivo.
Agora você pode start a estação de trabalho (ou desconectar/reconectar ao servidor). A Data Workbench deve carregar o certificado e a chave do repositório de certificados e conectar-se normalmente.

Saída de registro

Quando um certificado não é encontrado ou é inválido, essa mensagem de erro é emitida para o HTTP.log arquivo.
ERROR Fatal error: the cert could not be found!

A estrutura de registro L4 pode ser ativada pela configuração do L4.cfg arquivo (consulte seu gerente de conta para configurar isso).