Download e instalação do certificado digital

Depois de instalar os arquivos de programa Insight, baixe e instale o certificado digital fornecido a você pelo Adobe.

Download e instalação do certificado digital

Depois de instalar os arquivos de programa Insight, baixe e instale o certificado digital fornecido a você pelo Adobe.

Compreender os certificados digitais

A Adobe usa certificados digitais X.509 para identificar e autenticar os componentes cliente e servidor que compõem uma implementação.

Ao instalar o Insight, você deve instalar o certificado digital que autoriza um indivíduo nomeado (por exemplo, Jane Smith) a usar o aplicativo cliente instalado.

OBSERVAÇÃO

Se precisar migrar o Insight para outro computador ou outro usuário nomeado, obtenha um novo certificado do Adobe. Para isso, entre em contato com o Atendimento ao cliente da Adobe.

O Insight apresenta esse certificado digital para obter acesso a um componente de servidor. Um administrador de um componente de servidor pode restringir o acesso aos recursos do servidor com base no nome comum ou nos valores da unidade organizacional que aparecem no certificado do usuário.

Os certificados digitais X.509 instalados com aplicativos Adobe também permitem que os componentes cliente e servidor troquem informações por SSL (Secure Sockets Layer). O SSL protege as transmissões via HTTP usando um sistema de criptografia de chave pública e privada. A implementação do SSL pela Adobe é compatível com chaves RSA de 1024 bits e usa um algoritmo de criptografia RC4 de 128 bits.

Além da segurança, o certificado digital que você instala também funciona como uma chave de licença que permite executar o Insight. Para funcionar adequadamente, um certificado digital deve ser atual e bloqueado por nó, caso contrário o aplicativo não será iniciado.

Certificados bloqueados por nó

Um certificado bloqueado por nó é um certificado digital que foi registrado no computador em que está instalado. O bloqueio de nó associa permanentemente um certificado a um identificador de nó específico (um valor que identifica exclusivamente um computador específico). Para que o nó bloqueie o certificado, o computador deve ter acesso à Internet ao Adobe License Server ou a um servidor proxy que tenha acesso ao License Server.

Se estiver instalando em um computador que não acesse a Internet, obtenha e instale um certificado especial pré-bloqueado, conforme descrito em Usar certificados digitais em computadores sem acesso à Internet.

Se estiver instalando em um computador que possa acessar a Internet, o certificado digital será bloqueado automaticamente no nó na primeira vez que o Insight for iniciado. Após ser bloqueado por nó, o certificado não poderá ser usado em nenhum outro computador. Se precisar migrar o Insight para outro computador, obtenha um certificado novo e desbloqueado do Adobe.

Certificados atuais

Além de ser bloqueado por nó, o certificado digital deve estar atualizado. Para permanecer atual, o certificado deve ser revalidado regularmente (geralmente a cada 30 dias, mas pode variar dependendo do contrato com a Adobe). Se o computador tiver acesso à Internet, o processo de revalidação será totalmente transparente. O Insight conecta-se automaticamente ao License Server e revalida o certificado quando necessário. Se o computador não tiver acesso à Internet, instale manualmente um certificado atualizado conforme descrito na seção a seguir.

Usar certificados digitais em computadores sem acesso à Internet

Se estiver instalando em um computador que não acesse a Internet, solicite um certificado pré-bloqueado para a instalação do Insight. Um certificado pré-bloqueado é um certificado digital que é bloqueado manualmente pelo Adobe para o identificador de nó do computador.

Para solicitar um certificado pré-bloqueado, envie o identificador do nó e o número do certificado para o Atendimento ao cliente do Adobe. Para obter o identificador de nó do computador, entre em contato com o Atendimento ao cliente do Adobe para solicitar o utilitário Adobe Node Identifier. Você também pode obter o identificador do nó a partir do alerta de que o Insight apresenta problemas ao tentar se conectar ao License Server e não conseguir. Ao receber o certificado pré-bloqueado, instale-o conforme descrito nas duas últimas etapas de Instalação de certificados digitais.

Quando o certificado precisar ser revalidado, baixe um novo certificado validado do License Server e reinstale-o no computador (a menos que o contrato com o Adobe diga o contrário).

Instalar certificados digitais

Para baixar e instalar o certificado digital

  1. Abra o navegador da Web para https:\license.visualsciences.com.

    OBSERVAÇÃO

    O navegador pode solicitar que você apresente um certificado digital neste momento. Se isso acontecer, clique em Cancel para fechar a caixa de diálogo.

  2. Na tela de logon, digite o Account Name e os Password que recebeu da Adobe e clique em login.

  3. Localize o certificado que foi emitido para a sua instância do Insight ( Seu Nome.pem) e clique no ícone associado a esse certificado.

  4. Quando solicitado a salvar o certificado, clique em Save.

  5. Baixe o arquivo para a pasta Certificates no diretório em que você instalou o Insight.

    Esta pasta contém um arquivo de certificado chamado trust_ca_cert.pem. Ambos os arquivos de certificado devem estar sempre presentes para que o Insight funcione.

Windows Certificate Store

O Windows Certificate Store permite que você armazene o certificado do cliente e a chave privada no Windows Certificate Store para comunicação SSL com servidores.

O Windows Certificate Store para o Cliente é um novo recurso que permite armazenar o certificado de comunicação SSL e a chave privada no Windows Certificate Store ao invés de no arquivo Insight/Certificates/<CertName>.pem. O uso do Windows Certificate Store pode ser preferível se você usar o armazenamento de certificados para outros aplicativos e desejar fazer o gerenciamento de certificados em um local, ou para usuários que desfrutam do registro de auditoria de logon adicional do Windows fornecido pelo Windows Certificate Store.

OBSERVAÇÃO

O licenciamento com o servidor de licenças ainda é mantido usando o arquivo <Common Name>.pem existente e o certificado obtido do armazenamento de certificados será usado apenas para comunicação com os servidores especificados.

Pré-requisitos

  1. Você deve ter acesso ao arquivo certmgr.msc com a capacidade de importar um certificado e uma chave para o armazenamento Pessoal. (O que deve ser verdadeiro por padrão para a maioria dos usuários do Windows.)

  2. O usuário que faz a configuração deve ter uma cópia da ferramenta de linha de comando OpenSSL.

  3. O servidor e o cliente já devem estar configurados para usar um certificado SSL personalizado, dando instruções para armazenar o certificado do cliente no Windows Certificate Store em vez de armazená-lo no diretório Certificados.

Configurar o Windows Certificate Store

Siga estas etapas para ativar o Windows Certificate Store:

Etapa 1: importe o certificado SSL e a chave privada do usuário para o Windows Certificate Store.

Em Usar certificados personalizados no Data Workbench, você é direcionado a colocar o certificado SSL e a chave no seguinte diretório:

<
<filepath>
  DWB Install folder
</filepath>>\Certificates\

O nome do certificado é <Common Name>.pem como Analytics Server 1.pem (não o arquivo trust_ca_cert.pem.)

Antes de ser possível importar o certificado e a chave privada, converta-os do formato .pem para um formato .pfx, como pkcs12.pfx).

  1. Abra um prompt de comando ou terminal e navegue até o diretório:

    <CommonName>.pem c: cd \<filepath>DWB Install folder</filepath>>\Certificates
    
  2. Execute openssl com os seguintes argumentos (com o nome real do arquivo .pem):

    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    

    Se solicitado, pressione Enter para ignorar a inserção de uma senha de exportação.

  3. Execute certmgr.msc a partir do prompt de execução, do menu iniciar ou da linha de comando.

  4. Abra o armazenamento de certificados Pessoais do usuário atual.

  5. Clique com o botão direito do mouse em Certificados e em Todas as Tarefas > Importar.

    Verifique se a opção Usuário atual está selecionada e clique em Avançar.

  6. Clique em Procurar e selecione o arquivo <CommonName>.pfx criado anteriormente. Altere a caixa suspensa de extensão de arquivo de um Certificado X.509 para o Personal Information Exchange ou para Todos os arquivos para visualizá-lo.

    Selecione o arquivo e clique em Abrir depois em Avançar.

  7. Não digite uma senha e verifique se apenas as opções Marcar essa chave como exportável e Incluir todas as propriedades estendidas estão selecionadas.

    Clique em Avançar.

  8. Certifique-se de que a opção Colocar todos os certificados no seguinte armazenamento esteja selecionada e que o armazenamento de certificados listado seja Pessoal. (Se você for um usuário avançado, poderá selecionar outro armazenamento nesse momento, mas altere a configuração posteriormente.)

  9. Clique em Avançar e em Concluir. Você deve ver uma caixa de diálogo informando que a importação foi concluída e ver seu certificado na pasta Certificados do armazenamento.

    OBSERVAÇÃO

    Preste atenção especial aos campos Emitido para e Emitido por. Você vai precisar deles na próxima etapa.

Etapa 2: edite o arquivo Insight.cfg.

Edite o arquivo Insight.cfg para direcionar o Data Workbench a usar o recurso Windows Certificate Store. Cada entrada de servidor neste arquivo deve ter alguns parâmetros adicionais especificados. Se os parâmetros forem omitidos, a estação de trabalho usará a configuração de certificado existente como padrão. Se especificar os parâmetros mas os valores forem incorretos, a estação de trabalho informará um estado de erro e você precisará consultar o arquivo de log para obter informações sobre os erros.

  1. Abra o arquivo Insight.cfg (localizado no diretório de instalação do Insight).

  2. Role para baixo até a entrada do servidor que você deseja configurar. Se quiser usar o Windows Certificate Store para cada servidor, faça essas modificações em cada entrada no vetor de objetos serverInfo.

  3. Adicione esses parâmetros ao seu arquivo Insight.cfg. Faça essa operação a partir da estação de trabalho ou manualmente adicionando os seguintes parâmetros ao objeto serverInfo. (Não esqueça de usar espaços ao invés de caracteres de tabulação e não cometa outros erros tipográficos ou de sintaxe neste arquivo. )

    SSL Use CryptoAPI = bool: true
    SSL CryptoAPI Cert Name = string: <Common Name>
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC
    SSL CryptoAPI Cert Store Name = string: My
    

    O booliano ativa ou desativa o recurso. O nome do certificado corresponde ao Emissor para no gerenciador de certificados. O nome do emissor do certificado corresponde a Emitido por, e o Nome do armazenamento deve corresponder ao nome do armazenamento do certificado.

    OBSERVAÇÃO

    O nome “Pessoal” no Gerenciador de certificados (certmgr.msc) se refere ao armazenamento de certificados chamado Meu. Consequentemente, se você importar o certificado de comunicação SSL e a chave (.PFX) para o armazenamento de certificados Pessoal conforme recomendado, defina a cadeia de caracteres SSL CryptoAPI Cert Store Name como “Meu”. A definição deste parâmetro para "Pessoal" não funcionará. Esta é uma peculiaridade do Windows Certificate Store.

    Encontre uma lista completa dos armazenamentos de sistema predefinidos aqui: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx. Seu sistema pode ter armazenamentos de certificados adicionais. Se quiser usar um armazenamento diferente de “Pessoal”u (como Me), obtenha o nome canônico do armazenamento de certificados e coloque-o no arquivo Insight.cfg. (O nome do armazenamento do sistema “Meu” é chamado inconsistentemente de “Meu” e “MEU” na documentação do Windows. Aparentemente, o parâmetro não distingue entre maiúsculas e minúsculas.)

  4. Depois de adicionar esses parâmetros e verificar se os valores correspondem à lista no Gerenciador de certificados do Windows, salve o arquivo Insight.cfg.

Inicie agora a estação de trabalho (ou desconecte/reconecte ao servidor). O Data Workbench deve carregar o certificado e a chave do armazenamento de certificados e conectar-se normalmente.

Saída de registro

Quando um certificado não é encontrado ou é inválido, essa mensagem de erro é emitida para o arquivo HTTP.log.

ERROR Fatal error: the cert could not be found!
OBSERVAÇÃO

A estrutura de logon L4 pode ser ativada pela configuração do arquivo L4.cfg (consulte o gerente de conta para essa configuração).

Usar certificados personalizados no Data Workbench

Instruções para usar certificados personalizados.

Um certificado usado pelo cliente ou servidor do Data Workbench precisa ser assinado por uma autoridade de certificação confiável (autoridade de certificação). Os clientes do Data Workbench recebem certificados assinados pela CA da Visual Sciences. Esses certificados são confiáveis pelo software Data Workbench, pois o trust_ca_cert.pem (fornecido junto com o software Insight e armazenado no diretório Certificados de servidores e clientes) contém um Certificado CA raiz para a CA Visual Sciences. Esses certificados são usados para licenciamento do software e autenticação quando clientes e servidores se comunicam usando SSL. Somente certificados emitidos pela CA da Visual Sciences podem ser usados para licenciamento, mas outros certificados podem ser usados para comunicação e autenticação. Certificados emitidos por CAs diferentes do Visual Sciences são mencionados abaixo como certificados personalizados.

Observação importante: para servidores e clientes, o software Data Workbench usa os arquivos de certificado instalados no diretório ou certificados ​do cliente ou servidor, identificados explicitamente em sua configuração. No entanto, também é possível usar o Windows Certificate Store para clientes.

As instruções a seguir descrevem os procedimentos a seguir para a utilização de certificados personalizados para a comunicação entre clientes e servidores do Data Workbench. Nem todos os detalhes são um requisito difícil e podem ser utilizadas diferentes variações no processo. No entanto, os procedimentos abaixo foram testados para funcionar.

Configuração de certificados de cliente personalizados

  1. Adicione o certificado da autoridade de certificação emissora ao trust_cert_ca.pem, que está instalado no diretório Certificados do cliente e o de cada servidor em cada cluster que deve ser acessado usando este certificado personalizado.

  2. Obtenha um certificado personalizado para cada servidor no cluster com as seguintes condições:

    1. O certificado é formatado como um certificado .pem.

    2. O certificado contém sua chave e é não criptografado (ou seja, não tem senha/senha).

      Um certificado contém sua chave com uma das seguintes linhas:

      BEGIN PRIVATE KEY
      BEGIN RSA PRIVATE KEY
      

      Uma maneira de remover a frase de senha de um certificado .pem:

      openssl rsa  -in password-protected-cert.pem -out no-password-cert.pem
      openssl x509 -in password-protected-cert.pem >> no-password.pem
      
    3. O certificado tem o CN, O, OU, etc. conforme necessário para este cliente no arquivo Access Control.cfg dos servidores.

    4. O certificado foi emitido com uma finalidade *** de cliente (ou servidor* e** cliente).

      Para verificar se um certificado tem um código de finalidade de servidor e/ou cliente, os seguintes comandos podem ser usados:

      openssl verify -CAfile trust_ca_cert.pem -purpose sslserver -x509_strict custom_communications_cert.pem
      openssl verify -CAfile trust_ca_cert.pem -purpose sslclient -x509_strict custom_communications_cert.pem
      

      Para certificados de servidor, ambos os comandos devem fornecer:

      custom_communications_cert.pem: OK
      

      Para um certificado de cliente, somente o segundo comando é necessário para renderizar OK.

  3. Coloque o certificado no diretório Certificados do cliente.

  4. Em Insight.cfg no serverInfo para cada cluster que você deseja usar este certificado, verifique se o certificado de cliente personalizado é nomeado, como:

    Servers = vector: 1 items
      0 = serverInfo:
        SSL Client Certificate = string:
      <my_custom_client_cert.pem>
    

Configurar certificados de servidor personalizados

Esta seção supõe que você tenha um cluster em execução, usando certificados emitidos pela Visual Sciences, e a configuração segue práticas comuns (como o diretório Componentes para Servidores de Processamento no principal é sincronizado com os diretórios Componentes de todos os DPUs).

  1. Adicione o certificado da CA emissora ao trust_cert_ca.pem que está instalado em cada servidor no cluster e em cada cliente que precisa se comunicar com esse cluster.

  2. Obtenha um certificado personalizado para cada servidor no cluster com estes requisitos:

    1. O certificado personalizado é formatado como um certificado .pem.

    2. O certificado contém sua chave e é não criptografado (ou seja, não tem senha/senha).

      Um certificado contém sua chave se tiver uma linha como:

      BEGIN PRIVATE KEY
      BEGIN RSA PRIVATE KEY
      

      Uma maneira de remover a frase de senha de um certificado .pem:

      openssl rsa  -in password-protected-cert.pem -out no-password-cert.pem
      openssl x509 -in password-protected-cert.pem >> no-password.pem
      
    3. O certificado tem o mesmo CN que o server_cert.pem atualmente instalado no servidor.

    4. O certificado foi emitido com uma finalidade de server e client.

      Para verificar se um certificado tem um código de finalidade de servidor e/ou cliente, os seguintes comandos podem ser usados:

      openssl verify -CAfile trust_ca_cert.pem -purpose sslserver -x509_strict custom_communications_cert.pem
      openssl verify -CAfile trust_ca_cert.pem -purpose sslclient -x509_strict custom_communications_cert.pem
      

      Para certificados de servidor, ambos os comandos devem fornecer:

      custom_communications_cert.pem: OK
      

      Para um certificado de cliente, somente o segundo comando é necessário para renderizar OK.

  3. Instale o certificado personalizado de cada servidor no diretório Certificados do servidor como custom_communications_cert.pem.

  4. Usando um editor de texto, adicione a seguinte linha no arquivo Communications.cfg nos diretórios Components e Components for Processing Servers, logo abaixo da primeira linha ( component = CommServer):

    Certificate = string: Certificates\\custom_communications_cert.pem
    
  5. Reinicie todos os servidores.

Sobre o Aviso de Falha de Certificado

Quando o servidor ou cliente Insight procura um certificado license no diretório Certificados, ele tenta validar todos os certificados (exceto trust_ca_cert.pem), em relação a uma cópia codificada do certificado CA Insight, que falha em qualquer certificado personalizado presente no diretório. O servidor emite este aviso:

Certificate failed to verify. Error 20 at 0 depth. Desc: unable to get local issuer certificate. Cert details:

Esse aviso pode ser ignorado com segurança.

Criptografia de cadeia de caracteres

Criptografar senhas e outras strings ao se comunicar entre o cliente e o servidor.

Ao se comunicar entre o cliente do Data Workbench (estação de trabalho) e o servidor, você pode salvar um parâmetro Value (como uma senha) com o Tipo de EncryptedString. Isso oculta o parâmetro e salva a string no Windows Credencial Store no servidor com a chave correspondente retornada. Isso armazena principalmente as credenciais usadas nas exportações, mas pode ser usado para criptografar qualquer parâmetro.

  • Uma nova pasta foi adicionada em Server*EncryptStrings*.

    É aqui que você define o arquivo de configuração para criptografar cadeias de caracteres.

  • Um novo arquivo de configuração foi adicionado em Server\Component*EncryptedStrings.cfg*.

    component = EncryptionComponent:
      Path = Path: EncryptStrings\\*.cfg
    

    Este arquivo pesquisa a pasta Server*EncryptStrings* para arquivos de configuração de criptografia.

Para criptografar uma cadeia de caracteres:

  1. Crie um arquivo de configuração EncryptedStrings.cfg para uma sequência de caracteres com esses campos definidos:

    Names = vector: 1 items
     0 = NameEncryptValuePair:
      EncryptValue = EncryptedString: // left empty as input then output will be filled by server
      Name = string: // Name for identifier
      Value = string: // Value to be encrypted
    
    • Value - Este campo contém a cadeia de caracteres de texto simples que precisa ser criptografada.

      Essa é apenas a criptografia do lado do servidor. A configuração Value é criptografada somente no computador servidor.

    • Name - Este campo contém um valor que identifica a cadeia de caracteres criptografada.

    • EncryptValue - Esse campo será deixado em branco no arquivo de configuração de entrada. O valor criptografado será retornado neste campo.

    Você pode adicionar vários valores NameEncryptValuePair para diferentes campos para criptografia.

    OBSERVAÇÃO

    Todos os campos Value vazios serão removidos.

  2. Salve o arquivo EncryptedStrings.cfg na pasta Server*EncryptStrings*.

Arquivo de saída

Um arquivo de saída será gerado com o mesmo nome do arquivo de entrada com um <filename>.** encryptedextension. Por exemplo, se o arquivo de entrada for chamado de sample.cfg, o arquivo de saída será nomeado sample.cfg.encrypted.

Nesta página