Windows 憑證存放區

Windows 憑證存放區可讓您將用戶端的憑證和私密金鑰存放在 Windows 憑證存放區中,以便與伺服器進行 SSL 通訊。

適用於用戶端的 Windows 憑證存放區是一項新功能,可讓您將 SSL 通訊憑證和私密金鑰存放在 Windows 憑證存放區,而非 Insight/Certificates/<CertName>.pem 檔案中。如果您將憑證存放區用於其他應用程式,並且要集中管理憑證,或是因使用者享有額外的 Windows 稽核記錄功能 (由 Windows 憑證存放區提供) 而使用憑證存放區,建議您使用 Windows 憑證存放區。

注意

目前仍可使用現有的 <Common Name>.pem 檔案,維持透過授權伺服器進行授權的方式,且從憑證存放區取得的憑證只會用於與您指定的伺服器通訊。

必備條件

  1. 您必須能存取 certmgr.msc 檔案,並能夠將憑證和金鑰匯入 Personal 存放區。(根據預設,大部分 Windows 使用者都符合條件。)

  2. 進行設定的使用者必須有 OpenSSL 命令列工具的副本。

  3. 伺服器和用戶端必須已設定為使用自訂 SSL 憑證,如使用自訂憑證中所述,說明將用戶端憑證存放在 Windows 憑證存放區,而非存放在 Certificates 目錄中。

設定 Windows 憑證存放區

按照下列步驟啟用適用於用戶端的 Windows 憑證存放區:

步驟 1:將使用者的 SSL 憑證和私密金鑰匯入 Windows 憑證存放區。

使用自訂憑證一文指示您將 SSL 憑證和金鑰放在以下目錄中:

< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

憑證的名稱為 <Common Name>.pem (例如 Analytics Server 1.pem [非 trust_ca_cert.pem 檔案]。)

必須將憑證和私密金鑰先從pem 格式轉換為 .pfx 格式 (例如 pkcs12.pfx) 才能匯入。

  1. 開啟命令提示字元或終端機,然後導覽至目錄:

    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
  2. 使用下列引數執行 openssl (含實際的 .pem 檔案名稱):

    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    

    如果系統提示,請按 Enter 以略過輸入匯出密碼。

  3. 在執行提示、開始功能表或命令列執行 certmgr.msc。

  4. 開啟目前使用者的 Personal 憑證存放區。

  5. 以右鍵按一下 Certificates,然後按一下​「所有工作 > 匯入」

    確認選取​「目前使用者」​選項,然後按​「下一步」

  6. 按一下​「瀏覽」,然後選取先前建立的 <CommonName>.pfx 檔案。您必須將副檔名下拉方塊從「X.509 憑證」變更為 「個人資訊交換」​或​「所有檔案」,才能看到該檔案。

    選取該檔案,按一下​「開啟」,然後按​「下一步」

  7. 請勿輸入密碼,並確認只選取​「將這個金鑰設成可匯出」​和​「包含所有延伸內容」​選項。

    按​「下一步」

  8. 確認已選取​「將所有憑證放入以下的存放區」,且所列的憑證存放區為 Personal。(如果您為進階使用者,此時可選取其他存放區,但稍後必須變更設定。)

  9. 按​「下一步」,然後按一下​「完成」。您應該會看到一個對話方塊,告訴您匯入成功,並在存放區的 Certificates 檔案夾中看到您的憑證。

    注意

    請特別注意​**「核發對象」​和​「核發人員」**​欄位。下一步需要這些資訊。

步驟 2:編輯 Insight.cfg 檔案。

必須編輯 Insight.cfg 檔案,才能指示 Data Workbench 使用 Windows 憑證存放區功能。此檔案的每個伺服器項目都必須指定一些其他參數。如果省略這些參數,工作站會預設為使用現有憑證設定。如果已指定參數但值不正確,工作站會進入錯誤狀態,而您必須參考記錄檔以取得錯誤資訊。

  1. 開啟 Insight.cfg 檔案 (位於 Insight 安裝目錄)。

  2. 向下捲動至要設定的伺服器項目。如果您想要將 Windows 憑證存放區用於每個伺服器,必須對 serverInfo 物件向量中的每個項目進行下列修改。

  3. 將下列參數新增至其 Insight.cfg 檔案。您可以在工作站執行此操作,或手動將下列參數新增至 serverInfo 物件。(請務必使用空格而非定位字元,並確認此檔案中沒有其他拼字或語法錯誤。)

    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    

    布林值會啟用或停用此功能。憑證名稱與憑證管理員中的​「核發對象」​相符。憑證核發者名稱與​「核發人員」​相符,且​「存放區名稱」​必須與憑證存放區名稱相符。

    注意

    憑證管理員 (certmgr.msc) 中的名稱「個人」實際上是指憑證存放區​**「My」。​因此,如果您依建議將 SSL 通訊憑證和金鑰 (.PFX) 匯入 Personal 憑證存放區,必須將​「SSL CryptoAPI Cert Store Name」**​字串設為「My」。將此參數設為「Personal」會無法執行,這是 Windows 憑證存放區的特性。

    您可在此取得預先定義的系統存放區完整清單:https://msdn.microsoft.com/zh-tw/library/windows/desktop/aa388136(v=vs.85).aspx。您的系統可能有其他憑證存放區。如果您想使用「個人」(例如​「My」) 以外的存放區,必須取得憑證存放區的正式名稱,並在 Insight.cfg 檔案中提供該名稱。(Windows 文件將系統存放區名稱「My」不一致地稱為「My」和「MY」。此參數似乎不區分大小寫。)

  4. 新增這些參數,並確認值與 Windows 憑證管理員中的清單相符後,請儲存 Insight.cfg 檔案。

您現在可以啟動工作站 (或中斷伺服器連線/重新連線至伺服器)。Data Workbench 應會從憑證存放區載入憑證和金鑰,並正常連線。

記錄輸出

找不到憑證或憑證無效時,系統會將此錯誤訊息擲回 HTTP.log 檔案。

ERROR Fatal error: the cert could not be found!
注意

可設定 L4.cfg 檔案來啟用 L4 記錄架構 (請洽詢您的帳戶管理員以進行設定)。

本頁內容

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now