Windows 憑證存放區

Windows 憑證存放區可讓您將用戶端的憑證和私密金鑰存放在 Windows 憑證存放區中,以便與伺服器進行 SSL 通訊。

適用於用戶端的 Windows 憑證存放區是一項新功能,可讓您將 SSL 通訊憑證和私密金鑰存放在 Windows 憑證存放區,而非 Insight/Certificates/<CertName>.pem 檔案中。如果您將憑證存放區用於其他應用程式,並且要集中管理憑證,或是因使用者享有額外的 Windows 稽核記錄功能 (由 Windows 憑證存放區提供) 而使用憑證存放區,建議您使用 Windows 憑證存放區。

注意

目前仍可使用現有的 <Common Name>.pem 檔案,維持透過授權伺服器進行授權的方式,且從憑證存放區取得的憑證只會用於與您指定的伺服器通訊。

必備條件

  1. 您必須能存取 certmgr.msc 檔案,並能夠將憑證和金鑰匯入 Personal 存放區。(根據預設,大部分 Windows 使用者都符合條件。)

  2. 進行設定的使用者必須有 OpenSSL 命令列工具的副本。

  3. 伺服器和用戶端必須已設定為使用自訂 SSL 憑證,如使用自訂憑證中所述,說明將用戶端憑證存放在 Windows 憑證存放區,而非存放在 Certificates 目錄中。

設定 Windows 憑證存放區

按照下列步驟啟用適用於用戶端的 Windows 憑證存放區:

步驟 1:將使用者的 SSL 憑證和私密金鑰匯入 Windows 憑證存放區。

使用自訂憑證一文指示您將 SSL 憑證和金鑰放在以下目錄中:

< 
<filepath>
  DWB Install folder 
</filepath>>\Certificates\

憑證的名稱為 <Common Name>.pem (例如 Analytics Server 1.pem [非 trust_ca_cert.pem 檔案]。)

必須將憑證和私密金鑰先從pem 格式轉換為 .pfx 格式 (例如 pkcs12.pfx) 才能匯入。

  1. 開啟命令提示字元或終端機,然後導覽至目錄:

    <CommonName>.pem c: cd \<DWB Install folder \Certificates
    
  2. 使用下列引數執行 openssl (含實際的 .pem 檔案名稱):

    openssl pkcs12 -in "<Common Name>.pem" -export -out "<Common Name>.pfx"
    

    如果系統提示,請按 Enter 以略過輸入匯出密碼。

  3. 在執行提示、開始功能表或命令列執行 certmgr.msc。

  4. 開啟目前使用者的 Personal 憑證存放區。

  5. 以右鍵按一下 Certificates,然後按一下​「所有工作 > 匯入」

    確認選取​「目前使用者」​選項,然後按​「下一步」

  6. 按一下​「瀏覽」,然後選取先前建立的 <CommonName>.pfx 檔案。您必須將副檔名下拉方塊從「X.509 憑證」變更為 「個人資訊交換」​或​「所有檔案」,才能看到該檔案。

    選取該檔案,按一下​「開啟」,然後按​「下一步」

  7. 請勿輸入密碼,並確認只選取​「將這個金鑰設成可匯出」​和​「包含所有延伸內容」​選項。

    按​「下一步」

  8. 確認已選取​「將所有憑證放入以下的存放區」,且所列的憑證存放區為 Personal。(如果您為進階使用者,此時可選取其他存放區,但稍後必須變更設定。)

  9. 按​「下一步」,然後按一下​「完成」。您應該會看到一個對話方塊,告訴您匯入成功,並在存放區的 Certificates 檔案夾中看到您的憑證。

    注意

    請特別注意​**「核發對象」​和​「核發人員」**​欄位。下一步需要這些資訊。

步驟 2:編輯 Insight.cfg 檔案。

必須編輯 Insight.cfg 檔案,才能指示 Data Workbench 使用 Windows 憑證存放區功能。此檔案的每個伺服器項目都必須指定一些其他參數。如果省略這些參數,工作站會預設為使用現有憑證設定。如果已指定參數但值不正確,工作站會進入錯誤狀態,而您必須參考記錄檔以取得錯誤資訊。

  1. 開啟 Insight.cfg 檔案 (位於 Insight 安裝目錄)。

  2. 向下捲動至要設定的伺服器項目。如果您想要將 Windows 憑證存放區用於每個伺服器,必須對 serverInfo 物件向量中的每個項目進行下列修改。

  3. 將下列參數新增至其 Insight.cfg 檔案。您可以在工作站執行此操作,或手動將下列參數新增至 serverInfo 物件。(請務必使用空格而非定位字元,並確認此檔案中沒有其他拼字或語法錯誤。)

    SSL Use CryptoAPI = bool: true  
    SSL CryptoAPI Cert Name = string: <Common Name>  
    SSL CryptoAPI Cert Issuer Name = string: Visual Sciences,LLC  
    SSL CryptoAPI Cert Store Name = string: My 
    

    布林值會啟用或停用此功能。憑證名稱與憑證管理員中的​「核發對象」​相符。憑證核發者名稱與​「核發人員」​相符,且​「存放區名稱」​必須與憑證存放區名稱相符。

    注意

    憑證管理員 (certmgr.msc) 中的名稱「個人」實際上是指憑證存放區​**「My」。​因此,如果您依建議將 SSL 通訊憑證和金鑰 (.PFX) 匯入 Personal 憑證存放區,必須將​「SSL CryptoAPI Cert Store Name」**​字串設為「My」。將此參數設為「Personal」會無法執行,這是 Windows 憑證存放區的特性。

    您可在此取得預先定義的系統存放區完整清單:https://msdn.microsoft.com/zh-tw/library/windows/desktop/aa388136(v=vs.85).aspx。您的系統可能有其他憑證存放區。如果您想使用「個人」(例如​「My」) 以外的存放區,必須取得憑證存放區的正式名稱,並在 Insight.cfg 檔案中提供該名稱。(Windows 文件將系統存放區名稱「My」不一致地稱為「My」和「MY」。此參數似乎不區分大小寫。)

  4. 新增這些參數,並確認值與 Windows 憑證管理員中的清單相符後,請儲存 Insight.cfg 檔案。

您現在可以啟動工作站 (或中斷伺服器連線/重新連線至伺服器)。Data Workbench 應會從憑證存放區載入憑證和金鑰,並正常連線。

記錄輸出

找不到憑證或憑證無效時,系統會將此錯誤訊息擲回 HTTP.log 檔案。

ERROR Fatal error: the cert could not be found!
注意

可設定 L4.cfg 檔案來啟用 L4 記錄架構 (請洽詢您的帳戶管理員以進行設定)。

本頁內容