Instalação de certificados de segurança para o Servidor AX

Instale um certificado de uma Autoridade de Certificação (CA) para substituir o certificado autoassinado padrão usado para proteger a conexão SSL entre o Servidor AX e os aplicativos clientes.

Ferramentas e conhecimento necessário

Essa tarefa exige que você use o utilitário keytool do Oracle para gerenciar chaves e certificados Para obter mais informações sobre o utilitário keytool, consulte Documentação do keytool do Oracle.

Para concluir essa tarefa com sucesso, você também deve estar familiarizado com o trabalho com certificados de segurança e a tecnologia Java KeyStore:

  • Certificado de segurança um documento eletrônico usado para provar a propriedade de uma chave pública. O certificado inclui informações sobre a chave, sobre a identidade do proprietário e a assinatura digital de uma entidade que tenha verificado se o conteúdo do certificado está correto. Para obter mais informações, consulte Certificados de segurança
  • Java KeyStore um repositório de certificados de segurança mais chaves privadas correspondentes usado para criptografia SSL. Para obter mais informações, consulte Oracle: Criando um KeyStore

Faça backup da configuração de servidor do aplicativo TomEE antes de começar

  1. No Windows Explorer, abra a subpasta TomCat\conf no diretório em que você instalou o aplicativo de servidor do ACL GRC Analytics Exchange para o qual você está atualizando a configuração do armazenamento de chaves.
  2. Copie os arquivos conf\tomee.xml, conf\server.xml e conf\system.properties para um local de backup seguro.

    Caso ocorra algum problema durante a configuração do certificado de segurança, você pode restaurar a configuração original interrompendo o serviço do Analytics Exchange, restaurando esses arquivos e reiniciando o serviço.

Processo do lado do servidor

Dica

Adicione o subdiretório bin do Java à variável de ambiente PATH do seu sistema operacional para que seja possível usar o comando keytool sem especificar o caminho completo. Para adicionar o subdiretório ao caminho para a sua sessão, execute Set PATH=<caminho_bin_java>;%PATH%.

Se você estiver usando um arquivo de certificado PFX, poderá convertê-lo em um armazenamento de chave usando um comando keytool:

keytool -importkeystore -srckeystore seuarquivopfx.pfx -srcstoretype pkcs12 -destkeystore cientcert.jks -deststoretype JKS

Criar um novo armazenamento de chaves

  1. Abra um prompt de comando no servidor.
  2. Use a seguinte sintaxe para criar o novo armazenamento de chaves:

    keytool -genkeypair -alias <alias> -keyalg RSA -keystore <nome_arquivo_armazenamento_chaves>

    Exemplo keytool -genkeypair -alias AX_store -keyalg RSA -keystore myAxKeystore

  3. Responda a cada pergunta quando solicitado:
    Exemplo de Campo
    Qual é seu nome e sobrenome?

    Nota

    Você deve inserir o nome do host da instância do seu Servidor AX para esta pergunta.

    		axserver.ax.com
    Qual é o nome da sua unidade organizacional?Compra
    Qual é o nome da sua organização?Empresa_de_exemplo
    Qual é o nome da sua Cidade ou Localidade?Cupertino
    Qual é o nome do seu Estado?CA
    Qual é o código de país de duas letras para essa unidade?US
    É <CN=axserver.ax.com, OU=Compra, O=EmpresaExemplo, L=Cupertino, ST=CA, C=US> correto?y

    Pressione Enter para usar a mesma senha do armazenamento de chaves ou especifique uma nova senha e pressione Enter.

Gerar uma Solicitação de Assinatura de Certificado (CSR) no novo armazenamento de chaves

Nota

Ignore esta seção se estiver usando um certificado existente.

Se você adquiriu seu certificado de segurança de outra autoridade de certificação, como a VeriSign, consulte a documentação fornecida para obter informações sobre como configurar um armazenamento de chaves. Crie um CSR usando a seguinte sintaxe:

keytool -certreq -alias <alias> -keyalg RSA -file <arquivo_saída_csr> -keystore <nome_arquivo_armazenamento_chaves>

Resultado Você agora tem um arquivo que pode usar para solicitar um certificado de uma autoridade de certificado.

Importar seu certificado CA para o armazenamento de chaves

Se o seu certificado está em um formato como PKCS12 que não pode ser importado para um armazenamento de chaves e você não consegue convertê-lo para o formato PEM, entre em contato com os Serviços de Suporte ACL para obter auxílio com a configuração do certificado no Tomcat.

  1. Dependendo da autoridade de certificação que você estiver utilizando, poderá ser necessário importar um certificado intermediário e/ou um certificado raiz para o armazenamento de chaves. Use a seguinte sintaxe para importar um ou dois desses certificados:

    keytool -import -alias <alias> -keystore <nome_arquivo_armazenamento_chaves> -trustcacerts -file <nome_arquivo_certificado>

    Se estiver importando os dois certificados, o alias especificado para cada certificado deve ser exclusivo. Você precisa importar o certificado raiz e, depois, executar o comando keytool novamente para importar o certificado intermediário.

  2. Use a seguinte sintaxe para importar seu certificado de segurança:

    keytool -import -alias <alias> -keystore <nome_arquivo_armazenamento_chaves> -trustcacerts -file <nome_arquivo_certificado>

    O alias especificado deve ter o mesmo valor especificado quando você gerou o armazenamento de chaves. O certificado importado substituirá o certificado autoassinado padrão criado no armazenamento de chaves.

  3. Copie o arquivo de armazenamento de chaves para a subpasta App\keystores.

Configure o servidor do aplicativo TomEE para usar o certificado

  1. Localize o arquivo server.xml na subpasta TomCat\conf e abra-o em um editor de texto.
  2. Atualize as configurações a seguir, salve e feche server.xml:
    • keystoreFile o nome e o caminho para o arquivo de armazenamento de chaves criado no seguinte formato: C:\ACL\App\keystores\<nome_armazenamento_chaves>
    • keystorePass insira a senha especificada para o armazenamento de chaves criado. A senha deve estar entre aspas ('' '').
  3. Localize system.properties na subpasta TomCat\conf e abra-o em um editor de texto.
  4. Atualize as configurações a seguir, salve e feche system.properties:

    • javax.net.ssl.trustStore o nome e o caminho para o arquivo de armazenamento de chaves criado no seguinte formato: C:/ACL/App/keystores/<nome_armazenamento_chaves>

      Nota

      Você deve usar o caractere de barra "/" no caminho do armazenamento de chaves. Se você usar a barra invertida "\", como é comum em ambientes Windows, ocorrerão erros de servidor durante o login.

    • javax.net.ssl.trustStorePassword a senha especificada para o armazenamento de chaves criado
  5. Reinicie o serviço do Analytics Exchange.

Processo no lado do cliente

Importação de certificados para o arquivo cacerts do Java da máquina do Cliente AX

Essa configuração deverá ser concluída no computador de cada usuário final onde o Cliente AX está instalado, se você estiver usando um certificado sem um certificado raiz no arquivo cacerts por padrão.

  1. Abra o Windows Explorer e navegue até o arquivo cacerts, localizado no subdiretório jre\lib\security onde o Cliente AX está instalado.

    O local padrão é C:\Arquivos de programas(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security

  2. Crie uma cópia de segurança do arquivo antes de fazer qualquer modificação.
  3. Dependendo dos certificados recebidos da Autoridade de certificação utilizada, pode ser necessário importar um certificado intermediário e/ou certificado raiz para o arquivo cacerts. Use a seguinte sintaxe para importar um ou dois desses certificados:

    keytool -import -alias <alias> -keystore <arquivo_cacacerts> -trustcacerts -file <nome_arquivo_certificado

    >Se estiver importando os dois certificados, o alias especificado para cada certificado deve ser exclusivo.

  4. Digite a senha do armazenamento de chaves no campo Senha e pressione Enter.

    A senha padrão do Java para o arquivo cacerts é changeit.

  5. Insira y no prompt Confiar nesse certificado? e pressione Enter.

Se necessário, instale o certificado no navegador da web de cada computador que acessará os aplicativos web do ACL GRC Analytics Exchange.

Nota

Isso não é necessário se o certificado é fornecido por uma CA relacionada na lista Autoridades de Certificação Confiáveis do Internet Explorer. Grandes CAs comerciais conhecidas como a VeriSign estão incluídas na lista.

[ Voltar ao início ]

(C) ACL Services Ltd. Todos os direitos reservados. quinta-feira, 4 de outubro de 2018