Como configurar a autenticação SSL

Como administrador do sistema, você pode configurar o web director para direcionar solicitações de logon a um web engine específico usando o protocolo SSL. Configurar a autenticação SSL fornece segurança aprimorada no logon. Para obter mais informações sobre como configurar o SSL para o xFlow e o CA Search Server, consulte Ativar SSL (Secure Socket Layer).
casm173
Como administrador do sistema, você pode configurar o web director para direcionar solicitações de logon a um web engine específico usando o protocolo SSL. Configurar a autenticação SSL fornece segurança aprimorada no logon. Para obter mais informações sobre como configurar o SSL para a
Interface do xFlow
e o CA Search Server, consulte Ativar SSL (Secure Socket Layer)
Este artigo contém os seguintes tópicos:
Verifique os pré-requisitos (configuração de SSL)
Verifique os pré-requisitos a seguir antes de iniciar a configuração SSL:
  • O CA SDM foi instalado e configurado no servidor em que você deseja implementar o SSL.
  • Ao menos dois web engines foram configurados e atribuídos a um web director. Para obter mais informações sobre como configurar web engines e web directors, consulte Como configurar processos para servidores do CA SDM.
Definir a funcionalidade do web engine por meio de parâmetros do web director
Depois de configurar o web engine para usar um web director, o web engine pode gerenciar as solicitações de cliente web. O web engine pode atender às solicitações de logon (redireciona as solicitações sem logon para outro local) ou solicitações sem logon (redireciona logons para outro local) ou ambos (web engine com 'objetivo geral'). O parâmetro WebDirector encontrado no arquivo <Host_Name>-web[#].cfg determina como o web engine pode atender às solicitações de logon.
A tabela a seguir mostra o relacionamento entre a função do web engine e a configuração do parâmetros do web director:
Funcionalidade do web engine
Configurações de parâmetros do ‘webdirector’ no ‘<Nome_host>-web[#].cfg’
Aceitar solicitações de logon
‘UseDirector AfterLogin’; ‘Willingness 0’
Aceitar atividade sem logon
‘UseDirector BeforeLogin’; ‘Willingness [1 a 10]’
Propósito geral
‘UseDirector Yes’; Willingness [1-10]’
Escolha o ambiente de logon SSL
É possível usar o web director para um logon SSL direcionado em um ambiente web misto SSL/não SSL para redirecionar todas as solicitações de logon da web aos web engines SSL específicos. Todas as outras solicitações podem ser redirecionadas e processadas por web engines diferentes de SSL.
Selecione a partir dos seguintes ambientes de logon SSL:
Ambiente sem SSL com balanceamento de carga de trabalho básico
Você pode usar o web director em um ambiente sem SSL com balanceamento de carga básico. O web director equilibra a carga em todos os mecanismos da web de acordo com o valor de disposição de cada mecanismo. Cada mecanismo da web pode atender solicitações de logon e não-logon. O protocolo HTTP é usado para a comunicação entre o web client e o servidor da web.
Para cada mecanismo da web sob o controle do web director, defina os parâmetros do web director no web engine ‘
-web[#].cfg’
da se
g
uinte maneira:
  • UseDirector: Yes
  • WebDirectorSlumpName (não altere este valor)
  • WillingnessValue: [1 a 10]
  • RedirectingURL: (o valor de protocolo anexado como prefixo pode estar ausente ou ser HTTP)
Ambiente com SSL global com equilíbrio de carga de trabalho básico
Você pode usar o web director em um ambiente SSL global com equilíbrio de carga básico. O web director equilibra a carga em todos os mecanismos da web de acordo com o valor de disposição de cada mecanismo. Cada mecanismo da web pode atender solicitações de logon e não-logon. O protocolo HTTPS deve ser usado em todos os tipos de comunicação entre o Web Client e o servidor da Web.
Para cada mecanismo da web sob o controle do web director, defina os parâmetros do web director no web engine ‘
-web[#].cfg’
da se
g
uinte maneira:
  • UseDirector: Yes
  • WebDirectorSlumpName (não altere este valor)
  • WillingnessValue: [1 a 10]
  • RedirectingURL: (o valor de protocolo anexado como prefixo deve ser HTTPS)
logon direcionado em um ambiente sem SSL com equilíbrio de carga de trabalho opcional
Você pode usar o web director para um logon direcionado em um ambiente não-SSL com equilíbrio de carga opcional. O mecanismo da web do tipo "apenas logon" atende apenas as solicitações de logon. Os mecanismos da web restantes sob controle do web director atendem todas as outras solicitações. Essa configuração encaminha toda a carga de trabalho de solicitações de logon aos mecanismos da web do tipo apenas logon especificados. O protocolo HTTP é usado para a comunicação entre o Web Client e o servidor da Web.
No caso de mecanismos da web do tipo apenas logon, defina os parâmetros do web director no web engine ‘
-web[#].cfg’
da se
g
uinte maneira:
  • UseDirector: AfterLogin
  • WebDirectorSlumpName (não altere este valor)
  • WillingnessValue: 0
  • RedirectingURL: (o valor de protocolo adicionado como prefixo pode estar ausente ou ser HTTP)
No caso de mecanismos da web do tipo não-logon, defina os parâmetros do web director no web engine ‘
-web[#].cfg’
da se
g
uinte maneira:
  • UseDirector: antes do logon
  • WebDirectorSlumpName (não altere este valor)
  • WillingnessValue: [1 a 10]
  • RedirectingURL: (o valor de protocolo anexado como prefixo pode estar ausente ou ser HTTP)
Logon SSL direcionado em ambiente misto com equilíbrio de carga de trabalho opcional
Você pode usar o web director para um logon SSL direcionado em um ambiente web misto SSL/não-SSL com equilíbrio de carga opcional. Todas as solicitações de logon da web são redirecionadas e atendidas pelo web engines SSL, ao passo que outras solicitações serão atendidas pelos web engines sem SSL. O protocolo HTTPS deve ser usado em todos os tipos de comunicação entre o Web Client e o mecanismo da Web SSL.
Configurar o ambiente de logon SSL
O protocolo SSL permite que as transações da web sejam criptografadas, fornecendo segurança máxima para dados confidenciais, especialmente senhas. Dependendo do tipo de configuração, é possível implementar um ambiente de logon SSL nos servidores do CA SDM configurados.
Siga estas etapas:
  1. Efetue logon no servidor a seguir, dependendo da configuração do CA SDM:
    • Disponibilidade avançada: servidor de aplicativos
    • Convencional: servidor principal ou secundário
  2. Verifique se servidor importou um certificado SSL com êxito.
  3. Crie uma cópia (incluindo subdiretórios) do diretório ‘$NX_ROOT/bopcfg/www/wwwroot' e atribua a ele o seguinte nome:
    ‘$NX_ROOT/bopcfg/www/wwwrootsec’
  4. Adicione um novo diretório virtual ao servidor web chamado CAisdsec.
  5. Aponte esse diretório virtual para o seguinte diretório físico:
    ‘$NX_ROOT/bopcfg/www/wwwrootsec’
  6. Verifique se as permissões do diretório virtual para CAisdsec correspondem às permissões do diretório virtual CAisd para a execução de scripts. Ative o SSL para o diretório virtual CAisdsec.
    Neste exemplo, CAisdsec é definido pelo usuário e pode ser renomeado.
  7. Salve as mudanças.
    Web directors não usam um arquivo <Nome_host>-web[#].cfg. No entanto, mecanismos da Web exigem um arquivo ‘<Nome_host>-web[#].cfg’ exclusivo. Os arquivos web.cfg de amostra são automaticamente gerados ao executar a configuração. Você pode importar as modificações no arquivo web.cfg original para os novos arquivos de configuração da web especificando o web.cfg original como o arquivo de modelo desejado.
  8. Copie e salve os seguintes arquivos, uma vez que ter um backup desses arquivos é útil sempre que você decidir restaurar o ambiente original:
    • $NX_ROOT/pdmconf/pdm_startup.tpl
    • $NX_ROOT/pdmconf/pdm_startup
    • Arquivo $NX_ROOT/bopcfg/www/web.cfg
    • Qualquer arquivo primary-web[#].cfg existente
    • $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml e web.xml.tpl
    • Para uma configuração de servidor secundário, salve cópias de backup de qualquer arquivo $NX_ROOT/bopcfg/www/web.cfg ou <Secondary_Server_Host_Name>-web[#].cfg e $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml*
  9. Para cada web engine atribuído a um webdirector, verifique se os parâmetros (<Host_Name>-web[#].cfg 'webdirector') do web engine estão definidos corretamente, analisando o arquivo em um editor de texto. Se necessário, modifique o parâmetro ‘webdirector' para refletir a função do mecanismo da web que você quer. Em seguida, copie-os para o diretório: $NX_ROOT/bopcfg/www.
  10. Mova todos os arquivos $NX_ROOT/samples/pdmconf/primary-web[#].cfg para o diretório $NX_ROOT/bopcfg/www.
    Para a configuração do servidor secundário, mova todos os arquivos $NX_ROOT/samples/pdmconf/'nome_do_servidor_secundário-web[#].cfg' do servidor primário para o diretório $NX_ROOT/bopcfg/www do servidor secundário.
  11. Para o servidor de servlet como o Tomcat, o CA SDM cria arquivos web.xml que podem substituir o arquivo web.xml em cada servidor que hospeda um web engine. Esses arquivos são nomeados primary-web.xml. Renomeie os arquivos e copie-os para o diretório: $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF.
    Para o servidor HTTP como IIS ou Apache, crie cópias do ‘pdmweb.exe’ no diretório $NX_ROOT/bopcfg/www/wwwroot, um ‘pdmweb[#].exe’ para cada web engine e um ‘pdmweb_d[#].exe’ para cada web director configurado. Verifique se ‘pdmweb[#].exe’ e ‘pdmweb_d[#].exe’ foram nomeados de acordo com os valores de CGI I/F corretos (por exemplo: ‘pdmweb1.exe', ‘pdmweb2.exe', pdmweb_d1.exe', etc.).
  12. Se você estiver usando o IIS e quiser adicionar extensões de servidor para cada interface CGI, poderá copiar o arquivo primary-site.dat para o diretório $NX_ROOT/bopcfg/www como site.dat. Quando o sistema é reconfigurado, essas localidades são adicionadas ao IIS.
  13. Reconfigure o servidor primário sem reinicializar o banco de dados e iniciar serviços.
  14. Após a reconfiguração, verifique se as configurações atuais são válidas. Inicie os daemons do CA SDM. Verifique se não há erros nos arquivos de stdlog. Use o pdm_status para exibir os daemons e seu status. Use http://localhost:8080/CAisd/pdmweb.exe para acessar o sistema.
  15. Para o gerenciamento de conhecimento para integração do CA SDM, se o SSL foi ativado para o CA SDM, o valor de protocolo do URL do CA SDM deve ser alterado.
    1. Em Gerenciador de configurações do Knowledge Tools, Geral, Integração, altere o valor de protocolo URL do CA SDM de HTTP para HTTPS.
    2. Salve e saia.
  16. Abra um navegador da web na página de logon do CA SDM e verifique se um usuário pode efetuar logon e se logon ou redirecionamento está adotando o comportamento esperado.
Implementar o ambiente de logon SSL
Para implementar o logon SSL configurado, faça alterações nos valores de parâmetro do web director.
Siga estas etapas:
  1. No caso de mecanismos da web de logon seguro, edite <Host_Name>-web[#].cfg, como segue:
    1. Mude o valor do parâmetro de CAisd de /CAisd para /CAisdsec.
    2. Altere o valor do parâmetro UseDirector de Yes para AfterLogin se o web director costuma passar pela autenticação.
    3. Altere o valor do parâmetro Willingness de 5 para 0.
    4. Verifique se o protocolo do valor RedirectingURL está listado como https.
    5. Altere o valor de Redirecting URL <diretório_cgi> de CAisd para CAisdsec.
    6. Salve as mudanças.
  2. No caso de web engines não seguros que lidam com as outras atividades, edite o arquivo <nome_do_host>-web[#].cfg, como segue:
    1. Verifique se o valor do parâmetro CAisd é /CAisd.
    2. Altere o valor do parâmetro UseDirector de Yes para BeforeLogin.
    3. Mantenha o valor de Willingness em 5 ou defina-o com qualquer valor de número inteiro de 1 a 10, dependendo da carga desejada.
    4. Verifique se o protocolo do valor RedirectingURL está listado como http.
    5. Verifique se o valor RedirectingURL <cgi directory> é CAisd.
    6. Salve as mudanças.
      Após a configuração, reinicie o Service Desk. Depois de reiniciar o serviço, teste o logon, acessando o webengine sem SSL usando HTTP. Verifique se ele redireciona-o automaticamente para o web engine HTTPS seguro para o logon. Quando estiver conectado, ele redireciona-o automaticamente de volta para o web engine sem SSL para a atividade normal do Service Desk.
Verificar o ambiente de logon SSL
É possível verificar o ambiente de logon SSL para web engines.
Siga estas etapas:
  • Os web engines de logon seguro devem residir no diretório físico mapeado para o diretório virtual com proteção SSL (nesse caso, CAisdsec).
    No caso de mecanismos da web com logon seguro, crie instâncias de pdmweb.exe no diretório $NX_ROOT/bopcfg/www/ wwwrootsec usando o nome pdmweb[#].exe. O nome do arquivo executável deve corresponder ao valor de CGI I/F de cada web engine com logon seguro.
    Exemplo: se pdmweb2 receber a atribuição do valor de CGI I/F do web engine de logon seguro, crie uma cópia física de pdmweb.exe e renomeie-a como pdmweb2.exe.
  • Os web directors e web engines não seguros devem residir no diretório físico mapeado para o diretório virtual não SSL CAisd.
    No caso de web directors e web engines não seguros, crie instâncias de pdmweb.exe no diretório $NX_ROOT/bopcfg/www/wwwroot. Deve haver uma cópia de pdmweb.exe para cada web engine e web director não seguro configurado. Renomeie as cópias de modo que os novos nomes dos arquivos executáveis correspondam aos valores de CGI I/F definidos para os web engines e web directors.
    Exemplo: se o valor de CGI I/F de pdmweb3 foi atribuído ao web engine de logon não seguro, e o valor de pdmweb_d1 ao web director, crie duas cópias de pdmweb.exe. Renomeie a primeira cópia como pdmweb3.exe e depois renomeie a segunda como pdmweb_d1.exe.
Configurar o SSL para o servidor do Tomcat
Configurar o SSL em servidores do Tomcat no ambiente do CA SDM.
Siga estas etapas:
  1. Para criar um armazenamento de chaves em cada servidor do CA SDM que requer um certificado SSL, execute as seguintes etapas:
    Um repositório de chaves é um armazenamento ou uma unidade de armazenamento de certificados para onde eles são importados. O Tomcat orienta o uso desse repositório de chaves e certificados para SSL.
    1. Crie um diretório na unidade C: (ou na unidade local desejada) com o nome "certificates".
    2. Usando a linha de comando, vá para o diretório bin JRE (para o JRE instalado com o Service Desk, normalmente /SC/JRE)
    3. Execute o comando "keytool -genkey -alias tomcat -keyalg RSA -keystore c:/certificates/keystore".
    4. Preencha os campos conforme apropriado (não se esqueça de anotar o que você preencheu em cada campo, pois talvez você possa precisar dessas informações mais tarde).
      Um arquivo .keystore é criado no diretório C:\certificates\.
  2. Gerar a solicitação de certificado para cada servidor. Execute as seguintes etapas para gerar a solicitação de certificado:
    1. Usando a linha de comando, vá para o diretório bin JRE (para o JRE instalado com o Service Desk, normalmente /SC/JRE)
    2. Execute o comando "keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr"
      Um arquivo .csr é criado no diretório c:/certificates em cada servidor em que você gerou a solicitação de certificado.
    3. Envie o arquivo .csr ao fornecedor de sua escolha que irá gerar o certificado adequado de acordo com a solicitação de certificado para cada servidor.
      O certificado obtido de cada um é diferente. Alguns fornecedores irão lhe enviar vários certificados possivelmente incluindo um certificado raiz, um certificado intermediário e um certificado de autoridade. Cada fornecedor tem diferentes instruções sobre quais certificados fornecidos precisam ser importados para o armazenamento de chaves. É aconselhável pedir, ao fornecedor específico usado para gerar o certificado, instruções específicas sobre como importar seus certificados em um repositório de chaves Tomcat.
      Assim que receber as instruções específicas do fornecedor, é possível segui-las para importar os certificados apropriados no armazenamento de chaves em cada servidor. Assim que a operação estiver concluída, é possível configurar o Tomcat no Service Desk de modo a indicar o armazenamento de chaves para onde o certificado foi importado.
  3. Abra o arquivo \bopcfg\www\CATALINA_BASE\conf\server.xml usando um editor de texto e localize o seguinte:
    <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>
    </Connector>-->
  4. Altere o código para o seguinte:
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true"
    keystoreFile="C:\certs\keystore.jks" keystorePass="password">
    <!--<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>-->
    </Connector>
    Certifique-se de remover as marcas <-- e --> que, no momento, adicionam comentários ao conector HTTPS /SSL do Tomcat, e defina o caminho e a senha apropriados para o repositório de chaves gerado no início.
  5. Salve o arquivo server.xml.
  6. Reinicie o Tomcat com os seguintes comandos:
    pdm_tomcat_nxd - c stop pdm_tomcat_nxd - c start
    É recomendável reiniciar todos os servidores do CA SDM para garantir que o Tomcat seja reiniciado.
  7. Teste a conexão SSL do Tomcat abrindo um navegador e indo até o URL do Service Desk, usando o protocolo HTTPS e a porta do Tomcat. Por exemplo, use o seguinte URL:
    https://servername:8443/CAisd/pdmweb.exe
    A tela de logon do Service Desk deve ser aberta. Você configurou o SSL no Tomcat com êxito.
Configurar o SSL no IIS
Para obter mais informações sobre como configurar a autenticação no IIS, consulte a documentação da Microsoft.