Tópico anterior: Sobre o uso de um certificado emitido por uma Autoridade certificadora de terceirosPróximo tópico: Manter o nome de host DNS

Mantendo o domínioGerenciar CertificadosImplementar o certificado SSL confiável de terceiros

Implementar o certificado SSL confiável de terceiros

O CA Process Automation oferece suporte aos certificados de segurança de terceiros para o acesso HTTPS à web e a assinatura de jars. Você pode obter esses certificados de uma Autoridade certificadora de terceiros.

Siga estas etapas:

  1. Decida uma senha para o certificado e obtenha um certificado de segurança de uma Autoridade de certificação.
  2. Usando as instruções fornecidas pela Autoridade certificadora, importe o certificado para um armazenamento de chaves. 

    Geralmente, você usa um comando similar ao keytool –import –alias myalias –file certfile –keystore  "path_and_file_specification_for_keystore".

  3. Para a senha do keystore, digite a senha do certificado fornecida pela Autoridade de certificação.
  4. Obtenha uma versão criptografada da senha do keystore.
    1. Vá para install_dir/server/c2o.
    2. Localize o script PasswordEncryption (PasswordEncryption.bat para Windows, PasswordEncryption.sh para UNIX ou Linux).
    3. Execute o PasswordEncryption passwordtoencrypt.
    4. Salve o valor longo criptografado retornado para a entrada no arquivo de propriedades.
  5. Interrompa o orquestrador.
  6. Faça o backup e edite o arquivo de propriedades Oasis Configuration para adicionar ou atualizar o seguinte:
    1. itpam.web.keystorepath para o local do keystore usando o caminho totalmente qualificado e um nome para o arquivo de keystore.
    2. itpam.web.keystore.password com a senha do armazenamento de chaves criptografada (não coloque o valor da senha criptografada entre aspas)
    3. itpam.web.keystorealias para o alias usado para referenciar o certificado no armazenamento (myalias nos exemplos).
  7. Assine o jars executando SignC2OJars (SignC2OJars.bat para Windows, SignC2OJars.sh para UNIX ou Linux) incluído no CA Process Automation em <install_dir>\server\c2o. Execute SignC2oJars sem parâmetros para assinar os jars. Se a senha do keystore digitada não corresponder à senha do certificado, digite a senha do certificado à medida que cada jar for assinado.

    Observação: no AIX, há um problema conhecido ao assinar novamente um arquivo jar usando o SignC2oJars. Para contornar esse problema, remova a assinatura manualmente, removendo os arquivos *.SF e *.RSA na pasta META-INF para cada arquivo Java antes de executar o SignC2oJars.

  8. Se o keystore contiver mais de um alias, modifique a entrada do conector no server.xml. O server.xm. está localizado em <install_dir>\server\c2o\deploy\jbossweb-tomcat55,sar\server.xml. Adicione a linha em negrito: 
    <Connector port="${tomcat.secure.port}" address="${jboss.bind.address}"

    maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
emptySessionPath="true"
scheme="https" secure="true" clientAuth="false" 
keystoreFile="${itpam.web.keystorepath}"
keyAlias="${itpam.web.keystorealias}"
keystorePass="${itpam.web.keystore.password}" sslProtocol = "${SSL_PROTOCOL}" algorithm = "${X509_ALGORITHM}" useBodyEncodingForURI="true"/>
  9. Inicie o orquestrador.
  10. Repita esse procedimento para cada Orquestrador que deverá usar o novo certificado.

Mais informações:

Arquivo de propriedades de configuração do Oasis