Instalação de certificados de segurança

Instale um certificado de uma Autoridade de Certificação (CA) para substituir o certificado autoassinado padrão usado para proteger a conexão SSL entre o Servidor AX e os aplicativos clientes.

Ferramentas e conhecimento necessário

Essa tarefa exige que você use o utilitário keytool do Oracle para gerenciar chaves e certificados Para obter mais informações sobre o utilitário keytool, consulte Documentação do keytool do Oracle.

Para concluir essa tarefa com sucesso, você também deve estar familiarizado com o trabalho com certificados de segurança e a tecnologia Java KeyStore:

Certificado de segurança um documento eletrônico usado para provar a propriedade de uma chave pública. O certificado inclui informações sobre a chave, sobre a identidade do proprietário e a assinatura digital de uma entidade que tenha verificado se o conteúdo do certificado está correto. Para obter mais informações, consulte Certificados de segurança
Java KeyStore um repositório de certificados de segurança mais chaves privadas correspondentes usado para criptografia SSL. Para obter mais informações, consulte Oracle: Criando um KeyStore

Faça backup da configuração de servidor do aplicativo TomEE antes de começar

No Windows Explorer, abra o subdiretório TomCat\conf no diretório em que você instalou o aplicativo de servidor do Analytics Exchange para o qual você está atualizando a configuração do armazenamento de chaves.
Copie os arquivos conf\tomee.xml, conf\server.xml e conf\system.properties para um local de backup seguro.
Caso ocorra algum problema durante a configuração do certificado de segurança, você pode restaurar a configuração original interrompendo o serviço do Analytics Exchange, restaurando esses arquivos e reiniciando o serviço.

Processo do lado do servidor

Dica

Adicione o subdiretório bin do Java à variável de ambiente PATH do seu sistema operacional para que seja possível usar o comando keytool sem especificar o caminho completo. Para adicionar o subdiretório ao caminho para a sua sessão, execute Set PATH=<caminho_bin_java>;%PATH%.

Criar um novo armazenamento de chaves

Abra um prompt de comando no servidor.
Use esta sintaxe para criar o novo armazenamento de chaves:
keytool -genkeypair -alias <alias> -keyalg RSA -keystore <nome_arquivo_armazenamento_chaves>

Responda a cada pergunta quando solicitado:

Exemplo	de Campo
Qual é seu nome e sobrenome? Nota Você deve inserir o nome do host da instância do seu Servidor AX para esta pergunta.	axserver.ax.com
Qual é o nome da sua unidade organizacional?	Compra
Qual é o nome da sua organização?	Empresa_de_exemplo
Qual é o nome da sua Cidade ou Localidade?	Cupertino
Qual é o nome do seu Estado?	CA
Qual é o código de país de duas letras para essa unidade?	US
É <CN=axserver.ax.com, OU=Compra, O=EmpresaExemplo, L=Cupertino, ST=CA, C=US> correto?	y

Pressione Enter para usar a mesma senha do armazenamento de chaves ou especifique uma nova senha e pressione Enter.

Gerar um uma Solicitação de Assinatura de Certificado (CSR) no novo armazenamento de chaves

Nota

Ignore esta seção se estiver usando um certificado existente.

Se você adquiriu seu certificado de segurança de outra autoridade de certificação, como a VeriSign, consulte a documentação fornecida para obter informações sobre como configurar um armazenamento de chaves. Crie um CSR usando a seguinte sintaxe:

keytool -certreq -alias <alias> -keyalg RSA -file <arquivo_saída_csr> -keystore <nome_arquivo_armazenamento_chaves>

Resultado Você agora tem um arquivo que pode usar para solicitar um certificado de uma autoridade de certificado.

Importar seu certificado CA para o armazenamento de chaves

Se o seu certificado está em um formato como PKCS12 que não pode ser importado para um armazenamento de chaves e você não consegue convertê-lo para o formato PEM, entre em contato com os Serviços de Suporte ACL para obter auxílio com a configuração do certificado no Tomcat.

Dependendo da autoridade que você estiver utilizando, pode ser necessário importar um certificado intermediário e/ou um certificado raiz para o armazenamento de chaves. Use a seguinte sintaxe para importar um ou dois desses certificados:
keytool -import -alias <alias> -keystore <nome_arquivo_armazenamento_chaves> -trustcacerts -file <nome_arquivo_certificado>
Se estiver importando os dois certificados, o alias especificado para cada certificado deve ser exclusivo. Você precisa importar o certificado raiz e, depois, executar o comando keytool novamente para importar o certificado intermediário.
Use a seguinte sintaxe para importar seu certificado de segurança:
keytool -import -alias <alias> -keystore <nome_arquivo_armazenamento_chaves> -trustcacerts -file <nome_arquivo_certificado>
O alias especificado deve ter o mesmo valor especificado quando você gerou o armazenamento de chaves. O certificado importado substituirá o certificado autoassinado padrão criado no armazenamento de chaves.
Copie o arquivo de armazenamento de chaves para a subpasta App\keystores.

Configure o servidor do aplicativo TomEE para usar o certificado

Localize o arquivo server.xml na subpasta TomCat\conf e abra-o em um editor de texto.
Atualize as configurações a seguir e salve e feche server.xml:
- keystoreFile o nome e o caminho para o arquivo de armazenamento de chaves que você criou no seguinte formato: C:\ACL\App\keystores\<nome_do_seu_armazenamento_de_chaves>
- keystorePass a senha que especificou para seu armazenamento de chaves quando o criou A senha deve estar entre aspas ('' '').
Localize system.properties na subpasta TomCat\conf e abra em um editor de texto.
Atualize as configurações a seguir e salve e feche system.properties:
- javax.net.ssl.trustStore o nome e o caminho para o arquivo de armazenamento de chaves que você criou no seguinte formato: C:\ACL\App\keystores\<nome_do_seu_armazenamento_de_chaves>
- javax.net.ssl.trustStorePassword a senha que especificou para seu armazenamento de chaves quando o criou
Reinicie o serviço do Analytics Exchange.

Processo no lado do cliente

Importação de certificados para o arquivo cacerts do Java da máquina do Cliente AX

Essa configuração deverá ser concluída no computador de cada usuário final onde o Cliente AX está instalado, se você estiver usando um certificado sem um certificado raiz no arquivo cacerts por padrão.

Abra o Windows Explorer e navegue até o arquivo cacerts, localizado no subdiretório jre\lib\security onde o Cliente AX está instalado.
O local padrão é C:\Arquivos de programas(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security
Crie uma cópia de segurança do arquivo antes de fazer qualquer modificação.
Dependendo dos certificados recebidos da Autoridade de certificação utilizada, pode ser necessário importar um certificado intermediários e/ou certificado raiz para o arquivo cacerts. Use a seguinte sintaxe para importar um ou dois desses certificados:
keytool -import -alias <alias> -keystore <arquivo_cacacerts> -trustcacerts -file <nome_arquivo_certificado
>Se estiver importando os dois certificados, o alias especificado para cada certificado deve ser exclusivo.
Digite a senha do armazenamento de chaves no campo Senha e pressione Enter.
A senha padrão do Java para o arquivo cacerts é changeit.
Digite y no prompt Confiar neste certificado? e pressione a tecla Enter.

Se necessário, instale o certificado no navegador da Web de cada computador que acessará os aplicativos Web do Analytics Exchange.

Nota

Isso não é necessário se o certificado é fornecido por uma CA relacionada na lista Autoridades de Certificação Confiáveis do Internet Explorer. Grandes CAs comerciais conhecidas como a VeriSign estão incluídas na lista.