Instalación de certificados de seguridad para Servidor de AX

Instale un certificado de una Autoridad de certificación (CA) para reemplazar el certificado autofirmado predeterminado que se usa para proteger la conexión SSL entre el Servidor de AX y las aplicaciones cliente.

Herramientas y conocimientos previos

Esta tarea requiere que use la utilidad keytool de Oracle para administrar claves y certificados. Si desea obtener más información sobre la herramienta keytool, consulte la documentación keytool de Oracle.

Para completar correctamente esta tarea, también debería sentirse cómodo trabajando con certificados de seguridad y tecnología KeyStore de Java:

  • Certificado de seguridad un documento electrónico utilizado para probar la propiedad de una clave pública. El certificado incluye información sobre la clave, información sobre la identidad de su propietario y la firma digital de una entidad que ha verificado que el contenido del certificado es correcto. Si desea obtener más información, consulte Certificados de seguridad
  • KeyStore de Java un repositorio de certificados de seguridad más las claves privadas correspondientes utilizadas para la encriptación SSL. Si desea obtener más información, consulte Oracle: Creación de un KeyStore

Antes de comenzar, haga una copia de seguridad de la configuración del servidor de aplicaciones TomEE

  1. En el Explorador de Windows, abra la subcarpeta TomCat\conf del directorio en el cual instaló la aplicación del servidor de Analytics Exchange para la cual está actualizando la configuración del almacén de claves.
  2. Copie los archivos conf\tomee.xml y conf\server.xml y conf\system.properties en una ubicación de respaldo segura.

    Si tiene problemas al configurar el certificado de seguridad, puede restaurar la configuración original deteniendo el servicio ACL Analytics Exchange, restaurando los archivos y después reiniciando el servicio.

Proceso del lado del servidor

Consejo

Agregue el subdirectorio bin de Java a la variable de entorno PATH de su sistema operativo para poder utilizar el comando keytool sin especificar la ruta completa. Para agregar el subdirectorio a la ruta para su sesión, ejecute Set PATH=<ruta_de_bin_de_java>;%PATH%.

Si está usando un archivo de certificado PFX, puede convertirlo en un almacén de claves con una clave privada utilizando un comando keytool:

keytool -importkeystore -srckeystore yourpfxfile.pfx -srcstoretype pkcs12 -destkeystore cientcert.jks -deststoretype JKS

Cree un nuevo almacén de claves

  1. Abra una línea de comandos en el servidor.
  2. Utilice la siguiente sintaxis para crear el nuevo almacén de claves:

    keytool -genkeypair -alias <alias> -keyalg RSA -keystore <nombre_archivo_almacén_claves>

    Ejemplo keytool -genkeypair -alias AX_store -keyalg RSA -keystore myAxKeystore

  3. Responda cada pregunta cuando se le solicite:
    CampoEjemplo
    ¿Cuál es su nombre y apellido?

    Nota

    Debe introducir el nombre de host de su instancia de Servidor de AX para esta pregunta.

    axserver.ax.com
    ¿Cuál es el nombre de su unidad organizativa?Compras
    ¿Cuál es el nombre de su organización?CompañíaEjemplo
    ¿Cuál es el nombre de su ciudad o localidad?Cupertino
    ¿Cuál es el nombre de su estado o provincia?CA
    ¿Cuál es el código de país de dos letras de esta unidad?US
    ¿Es correcto <CN = axserver.ax.com, OU=Compras, O= CompañíaEjemplo, L=Cupertino, ST=CA, C=US? y

    Pulse Intro para usar la misma contraseña que el almacén de claves o especifique una nueva contraseña y pulse Intro.

Generar una solicitud de firma de certificado (CSR) en el nuevo almacén de claves

Nota

Omita esta sección si utiliza un certificado existente.

Si adquirió su certificado de seguridad de otra Autoridad de certificación comercial, como VeriSign, consulte la documentación que le proporcionen para obtener información acerca de la configuración de un almacén de claves. Cree un CSR utilizando la siguiente sintaxis:

keytool -certreq -alias <alias> -keyalg RSA -file <archivo_salida_csr> -keystore <nombre_archivo_almacén_claves>

Resultado Ahora tiene un archivo que puede utilizar para solicitar un certificado de una autoridad de certificación.

Importar el certificado de la autoridad de certificación (CA) al almacén de claves

Si su certificado se encuentra en un formato como el PKCS12 que no se puede importar a un almacén de claves y usted no puede convertirlo al formato PEM, comuníquese con el Soporte para que le brinden asistencia con la configuración del certificado en Tomcat.

  1. Según la autoridad de certificación que esté utilizando, es posible que deba importar un certificado intermedio y/o certificado raíz al almacén de claves. Utilice la sintaxis siguiente para importar uno o ambos de estos certificados:

    keytool -import -alias <alias> -keystore <nombre_archivo_almacén_claves> -trustcacerts -file <nombre_archivo_certificado>

    Si está importando ambos certificados, el alias especificado para cada certificado debe ser único. Primero debe importar el certificado raíz y después ejecutar el comando keytool nuevamente para importar el certificado intermedio.

  2. Utilice la sintaxis siguiente para importar su certificado de seguridad:

    keytool -import -alias <alias> -keystore <nombre_archivo_almacén_claves> -trustcacerts -file <nombre_archivo_certificado>

    El alias especificado debe ser el mismo valor que el especificado cuando generó el almacén de claves. El certificado importado reemplazará al certificado autofirmado predeterminado que se creó en el almacén de claves.

  3. Copie el archivo del almacén de claves a la subcarpeta App\keystores.

Configure el servidor de aplicaciones TomEE para usar el certificado

  1. Busque server.xml en la subcarpeta TomCat\conf y ábralo en un editor de texto.
  2. Actualice los siguientes ajustes y después guarde y cierre server.xml:
    • keystoreFile el nombre y la ruta al archivo de almacén de claves que creó en el siguiente formato: C:\ACL\App\keystores\<nombre_de_su_almacén_de_claves>
    • keystorePass la contraseña que especificó para el almacén de claves al crearlo. La contraseña debe estar encerrada entre comillas ('' '').
  3. Busque system.properties en la subcarpeta TomCat\conf y ábralo en un editor de texto.
  4. Actualice los siguientes ajustes y después guarde y cierre system.properties:
    • javax.net.ssl.trustStore el nombre y la ruta al archivo de almacén de claves que creó en el siguiente formato: C:/ACL/App/keystores/<nombre_de_su_almacén_de_claves>

      Nota

      Debe usar la barra inclinada '/' en la ruta al almacén de claves. Si utiliza el carácter de barra invertida '\' como se suele utilizar en los entornos de Windows, habrá errores del servidor al iniciar sesión.

    • javax.net.ssl.trustStorePassword la contraseña que especificó para el almacén de claves al crearlo
  5. Reinicie el servicio de ACL Analytics Exchange.

Proceso del lado del cliente

Importar certificados al archivo cacerts de Java de la máquina AX Cliente

Esta configuración debe completarse en cada computadora de usuario final donde está instalado Cliente AX si está usando un certificado sin un certificado raíz en el archivo cacerts de forma predeterminada.

  1. Abra el Explorador de Windows y vaya al archivo cacerts, en la subcarpeta jre\lib\security en la cual está instalado Cliente AX.

    La ubicación predeterminada es C:\Archivos de programa(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security

  2. Cree una copia de seguridad del archivo antes de realizar cambios.
  3. Según los certificados que reciba de la Autoridad de certificación que esté utilizando, es posible que deba importar un certificado intermedio y/o certificado raíz al archivo cacerts. Utilice la sintaxis siguiente para importar uno de estos certificados o ambos:

    keytool -import -alias <alias> -keystore <cacerts_file> -trustcacerts -file <nombre_archivo_certificado>

    Si está importando ambos certificados, el alias especificado para cada certificado debe ser único.

  4. Escriba la contraseña del almacén de claves en la línea Contraseña y pulse Intro.

    La contraseña de Java predeterminada para el archivo cacerts es changeit.

  5. Ingrese y en el prompt ¿Confiar en este certificado? y presione Intro.

Si es necesario, instale el certificado en el navegador de cada computadora que tendrá acceso a las aplicaciones web de Analytics Exchange.

Nota

Si el certificado es proporcionado por una Autoridad de certificación que figura en la lista de Entidades emisoras de certificados raíz de confianza de Internet Explorer, no es necesario instalarlo. Las grandes Autoridades de certificación, como VeriSign, están incluidas en la lista.

Ayuda de Analytics Exchange 14.1 Cliente