Gestione del dominio › Gestione certificati › Implementazione del certificato SSL attendibile di terze parti

Implementazione del certificato SSL attendibile di terze parti

CA Process Automation supporta certificati di protezione di terzi per accesso Web HTTPS e firma di jars. È possibile ottenere tali certificati da un'autorità di certificazione di terze parti.

Attenersi alla procedura seguente:

1. Scegliere un password del certificato e ottenere un certificato di protezione da un'autorità di certificazione.
2. Utilizzando le istruzioni fornite dall'autorità di certificazione, importare il certificato in un keystore. 

   In genere si utilizza un comando simile allo strumento di gestione chiavi –importa –alias myalias –file certfile –keystore  "path_and_file_specification_for_keystore".

3. Per la password del keystore, immettere la password del certificato fornito dall'autorità di certificazione.
4. Ottenere una versione crittografata della password del keystore.
   1. Accedere a install_dir/server/c2o.
   2. Individuare lo script PasswordEncryption (PasswordEncryption.bat per Windows, PasswordEncryption.sh per UNIX o Linux).
   3. Eseguire PasswordEncryption passwordtoencrypt.
   4. Salvare il valore crittografato long restituito per voce nel file delle proprietà.
5. Interrompere l'orchestrator.
6. Eseguire il backup e modificare il file delle proprietà di configurazione Oasis per aggiungere o aggiornare quanto segue:
   1. itpam.web.keystorepath per la posizione del keystore utilizzando il percorso completo e il nome del file per il file keystore.
   2. itpam.web.keystore.password con la password keystore crittografata (non racchiudere la password crittografata tra virgolette)
   3. Itpam.web.keystorealias per l'alias utilizzato per fare riferimento al certificato nel keystore (myalias negli esempi).
7. Firmare i file JAR eseguendo SignC2OJars (SignC2OJars.bat per Windows, SignC2OJars.sh per UNIX o Linux) incluso con CA Process Automation in install_dir/server/c2o. Eseguire SignC2oJars senza parametri per firmare il jars. Se la password del keystore immessa non corrisponde alla password del certificato, immettere la password del certificato quando vengono firmati i jar.

   Nota: su AIX si verifica un problema noto quando si firma per una seconda volta un file .jar utilizzando SignC2OJars. Per risolvere questo problema, annullare manualmente la firma dei file .jar tramite la rimozione dei file *.SF e *.RSA nella cartella META-INF per ogni archivio Java prima dell'esecuzione di SignC2OJars.

8. Se il keystore contiene più di un alias, modificare la voce del connettore server.xml. Il server.xm. è posizionato in <install_dir>\server\c2o\deploy\jbossweb-tomcat55.sar\server.xml. Aggiungere la riga in grassetto:

   <Connector port="${tomcat.secure.port}" address="${jboss.bind.address}"
   

   maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
   emptySessionPath="true"
   scheme="https" secure="true" clientAuth="false" 
   keystoreFile="${itpam.web.keystorepath}"
   keyAlias="${itpam.web.keystorealias}"
   keystorePass="${itpam.web.keystore.password}" sslProtocol = "${SSL_PROTOCOL}" algorithm = "${X509_ALGORITHM}" useBodyEncodingForURI="true"/>
   

9. Avviare l'orchestrator.
10. Ripetere questa procedura per ogni orchestrator in procinto di utilizzare il nuovo certificato.

Ulteriori informazioni:

File di proprietà di configurazione Oasis