Windows Certificate Store

O Windows Certificate Store permite que você armazene o certificado do cliente e a chave privada no Windows Certificate Store para comunicação SSL com servidores.

O Windows Certificate Store para o Cliente é um novo recurso que permite armazenar o certificado de comunicação SSL e a chave privada no Windows Certificate Store ao invés de no arquivo Insight/Certificates/<CertName>.pem. O uso do Windows Certificate Store pode ser preferível se você usar o armazenamento de certificados para outros aplicativos e desejar fazer o gerenciamento de certificados em um local, ou para usuários que desfrutam do registro de auditoria de logon adicional do Windows fornecido pelo Windows Certificate Store.

Observação

O licenciamento com o servidor de licenças ainda é mantido usando o arquivo <Common Name>.pem existente e o certificado obtido do armazenamento de certificados será usado apenas para comunicação com os servidores especificados.

Pré-requisitos

  1. Você deve ter acesso ao arquivo certmgr.msc com a capacidade de importar um certificado e uma chave para o armazenamento Pessoal. (O que deve ser verdadeiro por padrão para a maioria dos usuários do Windows.)

  2. O usuário que faz a configuração deve ter uma cópia da ferramenta de linha de comando OpenSSL.

  3. O servidor e o cliente já devem estar configurados para usar um certificado SSL personalizado, conforme descrito em Usar certificados personalizados, que dá instruções para armazenar o certificado do cliente no Windows Certificate Store em vez de armazená-lo no diretório Certificados.

Configurar o Windows Certificate Store

Siga estas etapas para ativar o Windows Certificate Store:

Etapa 1: importe o certificado SSL e a chave privada do usuário para o Windows Certificate Store.

Em Usar certificados personalizados, você é direcionado a colocar o certificado SSL e a chave no seguinte diretório:

< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

O nome do certificado é <Common Name>.pem (como Analytics Server 1.pem, não o arquivo trust_ca_cert.pem).

Antes de ser possível importar o certificado e a chave privada, converta-os do formato .pem para um formato .pfx, como pkcs12.pfx).

  1. Abra um prompt de comando ou terminal e navegue até o diretório:

    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
  2. Execute openssl com os seguintes argumentos (com o nome real do arquivo .pem):

    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    

    Se solicitado, pressione Enter para ignorar a inserção de uma senha de exportação.

  3. Execute certmgr.msc a partir do prompt de execução, do menu iniciar ou da linha de comando.

  4. Abra o armazenamento de certificados Pessoais do usuário atual.

  5. Clique com o botão direito do mouse em Certificados e em Todas as Tarefas > Importar.

    Verifique se a opção Usuário atual está selecionada e clique em Avançar.

  6. Clique em Procurar e selecione o arquivo <CommonName>.pfx criado anteriormente. Altere a caixa suspensa de extensão de arquivo de um Certificado X.509 para o Personal Information Exchange ou para Todos os arquivos para visualizá-lo.

    Selecione o arquivo e clique em Abrir depois em Avançar.

  7. Não digite uma senha e verifique se apenas as opções Marcar essa chave como exportável e Incluir todas as propriedades estendidas estão selecionadas.

    Clique em Avançar.

  8. Certifique-se de que a opção Colocar todos os certificados no seguinte armazenamento esteja selecionada e que o armazenamento de certificados listado seja Pessoal. (Se você for um usuário avançado, poderá selecionar outro armazenamento nesse momento, mas altere a configuração posteriormente.)

  9. Clique em Avançar e em Concluir. Você deve ver uma caixa de diálogo informando que a importação foi concluída e ver seu certificado na pasta Certificados do armazenamento.

    Observação

    Preste atenção especial aos campos Emitido para e Emitido por. Você vai precisar deles na próxima etapa.

Etapa 2: edite o arquivo Insight.cfg.

Edite o arquivo Insight.cfg para direcionar o Data Workbench a usar o recurso Windows Certificate Store. Cada entrada de servidor neste arquivo deve ter alguns parâmetros adicionais especificados. Se os parâmetros forem omitidos, a estação de trabalho usará a configuração de certificado existente como padrão. Se especificar os parâmetros mas os valores forem incorretos, a estação de trabalho informará um estado de erro e você precisará consultar o arquivo de log para obter informações sobre os erros.

  1. Abra o arquivo Insight.cfg (localizado no diretório de instalação do Insight).

  2. Role para baixo até a entrada do servidor que você deseja configurar. Se quiser usar o Windows Certificate Store para cada servidor, faça essas modificações em cada entrada no vetor de objetos serverInfo.

  3. Adicione esses parâmetros ao seu arquivo Insight.cfg. Faça essa operação a partir da estação de trabalho ou manualmente adicionando os seguintes parâmetros ao objeto serverInfo. (Não esqueça de usar espaços ao invés de caracteres de tabulação e não cometa outros erros tipográficos ou de sintaxe neste arquivo. )

    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    

    O booliano ativa ou desativa o recurso. O nome do certificado corresponde ao Emissor para no gerenciador de certificados. O nome do emissor do certificado corresponde a Emitido por, e o Nome do armazenamento deve corresponder ao nome do armazenamento do certificado.

    Observação

    O nome “Pessoal” no Gerenciador de certificados (certmgr.msc) se refere ao armazenamento de certificados chamado Meu. Consequentemente, se você importar o certificado de comunicação SSL e a chave (.PFX) para o armazenamento de certificados Pessoal conforme recomendado, defina a cadeia de caracteres SSL CryptoAPI Cert Store Name como “Meu”. A definição deste parâmetro para "Pessoal" não funcionará. Esta é uma peculiaridade do Windows Certificate Store.

    Encontre uma lista completa dos armazenamentos de sistema predefinidos aqui: https://msdn.microsoft.com/en-us/library/windows/desktop/aa388136(v=vs.85).aspx. Seu sistema pode ter armazenamentos de certificados adicionais. Se quiser usar um armazenamento diferente de “Pessoal”u (como Me), obtenha o nome canônico do armazenamento de certificados e coloque-o no arquivo Insight.cfg. (O nome do armazenamento do sistema “Meu” é chamado inconsistentemente de “Meu” e “MEU” na documentação do Windows. Aparentemente, o parâmetro não distingue entre maiúsculas e minúsculas.)

  4. Depois de adicionar esses parâmetros e verificar se os valores correspondem à lista no Gerenciador de certificados do Windows, salve o arquivo Insight.cfg.

Inicie agora a estação de trabalho (ou desconecte/reconecte ao servidor). O Data Workbench deve carregar o certificado e a chave do armazenamento de certificados e conectar-se normalmente.

Saída de registro

Quando um certificado não é encontrado ou é inválido, essa mensagem de erro é emitida para o arquivo HTTP.log.

ERROR Fatal error: the cert could not be found!
Observação

A estrutura de logon L4 pode ser ativada pela configuração do arquivo L4.cfg (consulte o gerente de conta para essa configuração).

Nesta página