Show Menu
主題×

Windows憑證商店

Windows憑證存放區可讓您將用戶端的憑證和私密金鑰儲存在Windows憑證存放區中,以便與伺服器進行SSL通訊。
用戶端的Windows憑證存放區是一項新功能,可讓您將SSL通訊憑證和私密金鑰儲存在Windows憑證存放區中,而非儲存在檔 Insight/Certificates/<CertName>.pem 案中。 如果您將憑證存放區用於其他應用程式,並希望在單一位置進行憑證管理,或是想要使用Windows憑證存放區提供之額外Windows稽核記錄的使用者,則最好使用Windows憑證存放區。
授權伺服器的授權仍會使用現有檔案來 <Common Name>.pem 維護,而且從憑證存放區取得的憑證將僅用於與您指定的伺服器通訊。

必備條件

  1. 您必須擁有檔案的存 certmgr.msc 取權,並能夠將憑證和金鑰匯入個人 商店 。 (對於大部分的Windows使用者,這個預設值應為true。)
  2. 執行配置的用戶必須有 OpenSSL 命令行工具的副本。
  3. 伺服器和客戶端必須已配置為使用自定義SSL證書(如 Using Custom Certificates )中所述),以指示將客戶端證書儲存在Windows證書儲存中,而不是儲存在 ​Certificates目錄中。

配置Windows證書儲存

按照以下步驟啟用Windows客戶端證書儲存:
步驟1:將使用者的SSL憑證和私密金鑰匯入Windows憑證商店。
使 用自訂憑證 時,您會將SSL憑證和金鑰放在下列目錄中:
< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

憑證的名稱 <Common Name>.pem 為( Analytics Server 1.pem例如( trust_ca_cert.pem 非檔案)。
必須先從轉換憑證和私密金鑰,才能匯入。 pem 格式 .pfx 化,例如 pkcs12.pfx )。
  1. 開啟命令提示符或終端,然後導航到目錄:
    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
    
  2. 使用 openssl 下列引數(使用實際的檔 .pem 案名稱)執行:
    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    
    
    如果出現提示,請按 下Enter 以略過輸入匯出密碼。
  3. 從運 certmgr.msc 行提示符、開始菜單或命令行運行。
  4. 開啟目 前使用者 的個人憑證存放區。
  5. 按一下右鍵「證 」 ,然後單 擊「所有任務 > 「 ​導入」。
    請確定已選 取「目前使用者 」選項,然後按一下「下 一步」
  6. 按一 下「瀏覽 」,然後選 <CommonName>.pfx 取先前建立的檔案。 您必須將副檔名下拉式方塊從X.509憑證變更為 Personal Information Exchange 或All Files ,才能檢視它。
    選取檔案,然後按一下「 開啟 」,然後按「下 一步」
  7. 請勿輸入密碼,並確保只選擇「將此鍵標籤為可導出 和「包含所有擴展屬性 ​」選項。
    按​ 「下一步」
  8. 請確定已選 取「將所有憑證放入下列商店 」,且所列的憑證商店為「 個人」 。 (如果您是進階使用者,此時可以選取其他商店,但您稍後必須變更設定。)
  9. 按一下「 Next (下一步 )」 ,然後按一下「 Finish(完成)」。 您應該會看到一個對話方塊,告訴您匯入成功,並在商店的「憑證」資料夾中看到您的憑證。
    請特別留意「發 布方 及「發佈方 」欄位。 下一步就需要這些。
步驟2:編輯Insight.cfg檔案。
必 Insight.cfg 須編輯檔案,才能引導資料工作台使用Windows憑證商店功能。 此檔案中的每個伺服器條目必須指定一些其他參數。 如果省略這些參數,則工作站將預設使用現有證書配置。 如果指定了參數,但值不正確,則工作站將進入錯誤狀態,您必須參考日誌檔案以獲取錯誤資訊。
  1. 開啟 Insight.cfg檔 (位於 ​Insight安裝目錄)。
  2. 向下滾動到要配置的伺服器條目。 如果您想要針對每個伺服器使用Windows憑證存放區,則必須對物件向量中的每個項目進行這些修 serverInfo 改。
  3. 將這些參數新增至其 Insight.cfg 檔案。 您可以從工作站執行此操作,也可以通過向對象中添加以下參數來手動 serverInfo 執行。 (請務必使用空格來取代Tab字元,而且請勿在此檔案中出現其他印刷樣式或語法錯誤。)
    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    
    
    布林值會啟用或停用功能。 憑證名稱與憑證管 理員中的 「發行者至」相符。 憑證發行者名稱與「 核發者 」相符,且 「商店名稱 」必須與憑證商店名稱相符。
    「認證管理員」(certmgr.msc)中的「個人」名稱實際上是指名為 My的認證商店。 因此,如果您按建議將SSL通訊憑證和金鑰(.PFX)匯入 Personal certificate Store,則必須將 SSL CryptoAPI Cert Store Name String設為"My"。 將此參數設為「個人」將無法運作。 這是Windows憑證存放區的特性。
    您可在此處獲得預定義系統儲存的完整清單: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx 。 您的系統可能有其他憑證存放區。 如果您想使用「個人」以外的商店(例如 My ),則必須取得憑證商店的標準名稱,並在檔案中提供 Insight.cfg 該名稱。 (Windows文檔不一致地將系統儲存名稱「My」稱為「My」和「MY」。 參數似乎不區分大小寫。)
  4. 添加這些參數並驗證這些值是否與Windows證書管理器中的清單匹配後,請保存文 Insight.cfg 件。
您現在可以啟動工作站(或斷開/重新連接至伺服器)。 資料工作台應從憑證存放區載入憑證和金鑰,並正常連線。

日誌輸出

當找不到憑證或憑證無效時,此錯誤訊息會擲回 HTTP.log 檔案。
ERROR Fatal error: the cert could not be found!

L4記錄架構可透過設定檔案來啟用(請 L4.cfg 洽詢您的帳戶管理員以設定)。