Mantenimiento del dominio › Gestión de certificados › Implementación del certificado SSL de confianza de terceros

Implementación del certificado SSL de confianza de terceros

CA Process Automation admite certificados de seguridad de terceros para el acceso Web HTTPS y la firma de archivos jar. Se pueden obtener tales certificados de una autoridad certificadora de terceros.

Lleve a cabo los pasos siguientes:

1. Elija una contraseña de certificado y obtenga un certificado de seguridad de una autoridad certificadora.
2. Siga las instrucciones proporcionadas por la autoridad certificadora e importe el certificado en un almacén de claves. 

   Generalmente utiliza un comando similar a keytool –import –alias myalias –file certfile –keystore  "path_and_file_specification_for_keystore".

3. Para la contraseña del almacén de claves, introduzca la contraseña del certificado proporcionada por la autoridad certificadora.
4. Obtenga una versión encriptada de la contraseña del almacén de claves.
   1. Vaya a install_dir/server/c2o.
   2. Localice el script PasswordEncryption (PasswordEncryption.bat para Windows, PasswordEncryption.sh para UNIX o Linux).
   3. Ejecute PasswordEncryption passwordtoencrypt.
   4. Guarde el valor largo encriptado devuelto para introducir en el archivo de propiedades.
5. Detenga el orquestador.
6. Realice una copia de seguridad del archivo de propiedades de configuración de Oasis y edítelo para agregar o actualizar lo siguiente:
   1. itpam.web.keystorepath a la ubicación del almacén de claves utilizando la ruta y el nombre de archivo completos para el archivo del almacén de claves.
   2. itpam.web.keystore.password con la contraseña encriptada del almacén de claves (no encierre con comillas el valor de la contraseña encriptada)
   3. itpam.web.keystorealias al alias utilizado para referenciar el certificado en el almacén de claves (myalias en los ejemplos).
7. Firme los archivos JAR ejecutando SignC2OJars (SignC2OJars.bat para Windows y SignC2OJars.sh para UNIX o Linux) incluido con CA Process Automation en el directorio install_dir/server/c2o. Ejecute SignC2oJars sin parámetros para firmar los archivos jar. Si la contraseña del almacén de claves que introdujo no coincide con la contraseña del certificado, introduzca la contraseña del certificado a medida que se firma cada archivo jar.

   Nota: En AIX, existe un problema conocido al volver a firmar un archivo .jar mediante SignC2OJars. Para solucionar este problema, "elimine la firma" manualmente de los archivos jar suprimiendo los archivos *.sf y *.rsa de la carpeta META-INF para cada archivo de archivado Java antes de ejecutar SignC2OJars.

8. Si el almacén de claves contiene más de un alias, modifique la entrada de conector en server.xml. El server.xm. está ubicado en <directorio_instalación>\server\c2o\deploy\jbossweb-tomcat55.sar\server.xml. Agregue la línea en negrita:

   <Connector port="${tomcat.secure.port}" address="${jboss.bind.address}"
   

   maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
   emptySessionPath="true"
   scheme="https" secure="true" clientAuth="false" 
   keystoreFile="${itpam.web.keystorepath}"
   keyAlias="${itpam.web.keystorealias}"
   keystorePass="${itpam.web.keystore.password}" sslProtocol = "${SSL_PROTOCOL}" algorithm = "${X509_ALGORITHM}" useBodyEncodingForURI="true"/>
   

9. Inicie el orquestador.
10. Repita este procedimiento para cada orquestador que utilizará el nuevo certificado.

Más información:

Archivo de propiedades de configuración de Oasis