Almacén de certificados de Windows

El Almacén de certificados de Windows le permite almacenar el certificado y la clave privada del cliente en el Almacén de certificados de Windows para la comunicación SSL con los servidores.

El Almacén de certificados de Windows para el cliente es una nueva funcionalidad que permite almacenar el certificado de comunicación SSL y la clave privada en el Almacén de certificados de Windows en lugar de en el archivo Insight/Certificates/<CertName>.pem. Puede que sea preferible utilizar el Almacén de certificados de Windows si utiliza el almacén de certificados para otras aplicaciones y desea realizar la administración de certificados en un lugar o para usuarios que disfrutan del registro de auditoría de Windows adicional que proporciona el Almacén de certificados de Windows.

NOTA

Las licencias con el servidor de licencias aún se mantienen mediante el archivo <Common Name>.pem existente y el certificado obtenido del almacén de certificados solo se utilizará para la comunicación con los servidores especificados.

Requisitos previos

  1. Debe tener acceso al archivo certmgr.msc con la capacidad de importar un certificado y una clave en el almacén personal. (Esto debería ser así de forma predeterminada para la mayoría de los usuarios de Windows).

  2. El usuario que realiza la configuración debe tener una copia de la herramienta de línea de comandos OpenSSL.

  3. El servidor y el cliente ya deben estar configurados para utilizar un certificado SSL personalizado, como se describe en Uso de certificados personalizados, dando instrucciones para almacenar el certificado de cliente en el Almacén de certificados de Windows en lugar de almacenarlo en el directorio Certificados.

Configuración del Almacén de certificados de Windows

El Almacén de certificados de Windows para clientes está habilitado siguiendo estos pasos:

Paso 1: Importe el certificado SSL y la clave privada del usuario en el Almacén de certificados de Windows.

En usar certificados personalizados, se le indica que coloque el certificado SSL y la clave en el siguiente directorio:

< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

El nombre del certificado es <Common Name>.pem (por ejemplo, Analytics Server 1.pem, no el archivo trust_ca_cert.pem).

Para poder importar el certificado y la clave privada, deben convertirse desde el formato . pem a un formato .pfx, como pkcs12.pfx).

  1. Abra un símbolo del sistema o terminal y vaya al directorio:

    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
  2. Ejecute openssl con los siguientes argumentos (con el nombre real del archivo .pem):

    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    

    Si se le solicita, pulse Intro para omitir la introducción de una contraseña de exportación.

  3. Ejecute certmgr.msc desde la línea de comandos, el menú de inicio o el símbolo del sistema.

  4. Abra el almacén de certificados personales para el usuario actual.

  5. Haga clic con el botón secundario en Certificados y, a continuación, haga clic en Todas las tareas > Importar.

    Asegúrese de que la opción Usuario actual está seleccionada y haga clic en Siguiente.

  6. Haga clic en Examinar y seleccione el archivo <CommonName>.pfx que creó anteriormente. Para poder verlo, deberá cambiar el cuadro desplegable de extensión de archivo de un certificado X.509 a Intercambio de información personal o a Todos los archivos.

    Seleccione el archivo y haga clic en Abrir y, a continuación, en Siguiente.

  7. No introduzca una contraseña y asegúrese de que solo están seleccionadas las opciones Marcar esta clave como exportable e Incluir todas las propiedades extendidas.

    Haga clic en Siguiente.

  8. Asegúrese de que está seleccionada la opción Colocar todos los certificados en el almacén siguiente y que el almacén de certificados que aparece es Personal. (Si es un usuario avanzado, puede seleccionar otro almacén en este momento, pero tendrá que cambiar la configuración más adelante).

  9. Haga clic en Siguiente y, a continuación, en Finalizar. Debe ver un cuadro de diálogo que le indica que la importación se ha realizado correctamente y ver el certificado en la carpeta Certificados del almacén.

    NOTA

    Preste especial atención a los campos Emitidos a y Emitidos por. Los necesitará en el próximo paso.

Paso 2: Editar el archivo Insight.cfg.

El archivo Insight.cfg debe editarse para dirigir Data Workbench para que use la función Almacén de certificados de Windows. Cada entrada de servidor de este archivo debe tener algunos parámetros adicionales especificados. Si se omiten los parámetros, la estación de trabajo utilizará de forma predeterminada la configuración de certificado existente. Si los parámetros están especificados pero tienen valores incorrectos, la estación de trabajo introducirá un estado de error y deberá consultar el archivo de registro para obtener información sobre el error.

  1. Abra el archivo Insight.cfg (ubicado en el directorio de instalación de Insight).

  2. Vaya hasta la entrada de servidor que desee configurar. Si desea utilizar el Almacén de certificados de Windows para cada servidor, debe realizar estas modificaciones en cada entrada del vector de objetos serverInfo.

  3. Añada estos parámetros a su archivo Insight.cfg. Puede hacerlo desde la estación de trabajo o manualmente agregando los siguientes parámetros al objeto serverInfo. (Asegúrese de utilizar espacios en lugar de caracteres de tabulación y no cometa otros errores tipográficos o de sintaxis en este archivo).

    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    

    El valor booleano activa o desactiva la función. El nombre del certificado coincide con Emitido a en el administrador de certificados. El nombre del emisor del certificado coincide con Emitido por y el Nombre del almacén debe coincidir con el nombre del almacén de certificados.

    NOTA

    El nombre “Personal” en el Administrador de certificados (certmgr.msc) hace referencia al almacén de certificados denominado My. En consecuencia, si importa el certificado de comunicación SSL y la clave (.PFX) en el almacén de certificados Personal, tal y como se recomienda, debe establecer la cadena SSL CryptoAPI Cert Store Name en “My”. Si establece este parámetro en “Personal”, no funcionará. Es una característica del Almacén de certificados de Windows.

    Aquí puede obtener una lista completa de los almacenes de sistemas predefinidos: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx. Es posible que el sistema tenga almacenes de certificados adicionales. Si desea utilizar un almacén que no sea “Personal” (como My), debe obtener el nombre canónico del almacén de certificados y proporcionarlo en el archivo Insight.cfg. (El nombre del almacén de sistemas “My” se denomina como “My” y “MY” en la documentación de Windows. El parámetro no parece distinguir entre mayúsculas y minúsculas).

  4. Después de agregar estos parámetros y comprobar que los valores coinciden con la lista en el Administrador de certificados de Windows, guarde el archivo Insight.cfg.

Ahora puede iniciar la estación de trabajo (o desconectar/volver a conectar con el servidor). Data Workbench debe cargar el certificado y la clave desde el almacén de certificados y conectarse normalmente.

Salida de registro

Cuando no se encuentra un certificado o no es válido, se envía este mensaje de error al archivo HTTP.log.

ERROR Fatal error: the cert could not be found!
NOTA

El marco de registro L4 puede habilitarse configurando el archivo L4.cfg (consulte con el administrador de cuentas para configurarlo).

En esta página