O Windows Certificate Store permite que você armazene o certificado do cliente e a chave privada no Windows Certificate Store para comunicação SSL com servidores.
O Windows Certificate Store para o Cliente é um novo recurso que permite armazenar o certificado de comunicação SSL e a chave privada no Windows Certificate Store ao invés de no arquivo Insight/Certificates/<CertName>.pem
. O uso do Windows Certificate Store pode ser preferível se você usar o armazenamento de certificados para outros aplicativos e desejar fazer o gerenciamento de certificados em um local, ou para usuários que desfrutam do registro de auditoria de logon adicional do Windows fornecido pelo Windows Certificate Store.
O licenciamento com o servidor de licenças ainda é mantido usando o arquivo <Common Name>.pem
existente e o certificado obtido do armazenamento de certificados será usado apenas para comunicação com os servidores especificados.
Você deve ter acesso ao arquivo certmgr.msc com a capacidade de importar um certificado e uma chave para o armazenamento Pessoal. (O que deve ser verdadeiro por padrão para a maioria dos usuários do Windows.)
O usuário que faz a configuração deve ter uma cópia da ferramenta de linha de comando OpenSSL.
O servidor e o cliente já devem estar configurados para usar um certificado SSL personalizado, conforme descrito em Usar certificados personalizados, que dá instruções para armazenar o certificado do cliente no Windows Certificate Store em vez de armazená-lo no diretório Certificados.
Siga estas etapas para ativar o Windows Certificate Store:
Etapa 1: importe o certificado SSL e a chave privada do usuário para o Windows Certificate Store.
Em Usar certificados personalizados, você é direcionado a colocar o certificado SSL e a chave no seguinte diretório:
<
<filepath>
DWB Install folder
</filepath>>\Certificates\
O nome do certificado é <Common Name>.pem
(como Analytics Server 1.pem, não o arquivo trust_ca_cert.pem).
Antes de ser possível importar o certificado e a chave privada, converta-os do formato .pem para um formato .pfx, como pkcs12.pfx).
Abra um prompt de comando ou terminal e navegue até o diretório:
<CommonName>.pem c: cd \<DWB Install folder \Certificates
Execute openssl com os seguintes argumentos (com o nome real do arquivo .pem):
openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
Se solicitado, pressione Enter para ignorar a inserção de uma senha de exportação.
Execute certmgr.msc a partir do prompt de execução, do menu iniciar ou da linha de comando.
Abra o armazenamento de certificados Pessoais do usuário atual.
Clique com o botão direito do mouse em Certificados e em Todas as Tarefas > Importar.
Verifique se a opção Usuário atual está selecionada e clique em Avançar.
Clique em Procurar e selecione o arquivo <CommonName>.pfx
criado anteriormente. Altere a caixa suspensa de extensão de arquivo de um Certificado X.509 para o Personal Information Exchange ou para Todos os arquivos para visualizá-lo.
Selecione o arquivo e clique em Abrir depois em Avançar.
Não digite uma senha e verifique se apenas as opções Marcar essa chave como exportável e Incluir todas as propriedades estendidas estão selecionadas.
Clique em Avançar.
Certifique-se de que a opção Colocar todos os certificados no seguinte armazenamento esteja selecionada e que o armazenamento de certificados listado seja Pessoal. (Se você for um usuário avançado, poderá selecionar outro armazenamento nesse momento, mas altere a configuração posteriormente.)
Clique em Avançar e em Concluir. Você deve ver uma caixa de diálogo informando que a importação foi concluída e ver seu certificado na pasta Certificados do armazenamento.
Preste atenção especial aos campos Emitido para e Emitido por. Você vai precisar deles na próxima etapa.
Etapa 2: edite o arquivo Insight.cfg.
Edite o arquivo Insight.cfg para direcionar o Data Workbench a usar o recurso Windows Certificate Store. Cada entrada de servidor neste arquivo deve ter alguns parâmetros adicionais especificados. Se os parâmetros forem omitidos, a estação de trabalho usará a configuração de certificado existente como padrão. Se especificar os parâmetros mas os valores forem incorretos, a estação de trabalho informará um estado de erro e você precisará consultar o arquivo de log para obter informações sobre os erros.
Abra o arquivo Insight.cfg (localizado no diretório de instalação do Insight).
Role para baixo até a entrada do servidor que você deseja configurar. Se quiser usar o Windows Certificate Store para cada servidor, faça essas modificações em cada entrada no vetor de objetos serverInfo.
Adicione esses parâmetros ao seu arquivo Insight.cfg. Faça essa operação a partir da estação de trabalho ou manualmente adicionando os seguintes parâmetros ao objeto serverInfo. (Não esqueça de usar espaços ao invés de caracteres de tabulação e não cometa outros erros tipográficos ou de sintaxe neste arquivo. )
SSL Use CryptoAPI = bool: true
SSL CryptoAPI Cert Name = string: <Common Name>
SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC
SSL CryptoAPI Cert Store Name = string: My
O booliano ativa ou desativa o recurso. O nome do certificado corresponde ao Emissor para no gerenciador de certificados. O nome do emissor do certificado corresponde a Emitido por, e o Nome do armazenamento deve corresponder ao nome do armazenamento do certificado.
O nome “Pessoal” no Gerenciador de certificados (certmgr.msc) se refere ao armazenamento de certificados chamado Meu. Consequentemente, se você importar o certificado de comunicação SSL e a chave (.PFX) para o armazenamento de certificados Pessoal conforme recomendado, defina a cadeia de caracteres SSL CryptoAPI Cert Store Name como “Meu”. A definição deste parâmetro para "Pessoal" não funcionará. Esta é uma peculiaridade do Windows Certificate Store.
Encontre uma lista completa dos armazenamentos de sistema predefinidos aqui: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx. Seu sistema pode ter armazenamentos de certificados adicionais. Se quiser usar um armazenamento diferente de “Pessoal”u (como Me), obtenha o nome canônico do armazenamento de certificados e coloque-o no arquivo Insight.cfg. (O nome do armazenamento do sistema “Meu” é chamado inconsistentemente de “Meu” e “MEU” na documentação do Windows. Aparentemente, o parâmetro não distingue entre maiúsculas e minúsculas.)
Depois de adicionar esses parâmetros e verificar se os valores correspondem à lista no Gerenciador de certificados do Windows, salve o arquivo Insight.cfg.
Inicie agora a estação de trabalho (ou desconecte/reconecte ao servidor). O Data Workbench deve carregar o certificado e a chave do armazenamento de certificados e conectar-se normalmente.
Quando um certificado não é encontrado ou é inválido, essa mensagem de erro é emitida para o arquivo HTTP.log.
ERROR Fatal error: the cert could not be found!
A estrutura de logon L4 pode ser ativada pela configuração do arquivo L4.cfg (consulte o gerente de conta para essa configuração).