Modalità di configurazione dell'autenticazione SSL

In qualità di amministratori di sistema, è possibile configurare Web Director per indirizzare le richieste di accesso a un motore Web specifico mediante il protocollo SSL (Secure Socket Layer). La configurazione dell'autenticazione SSL fornisce maggiore protezione durante l'accesso. Per ulteriori informazioni sulla configurazione di SSL per xFlow e CA Search Server, consultare la sezione Attivazione di Secure Socket Layer (SSL)
casm173
In qualità di amministratori di sistema, è possibile configurare Web Director per indirizzare le richieste di accesso a un motore Web specifico mediante il protocollo SSL (Secure Socket Layer). La configurazione dell'autenticazione SSL fornisce maggiore protezione durante l'accesso. Per ulteriori informazioni sulla configurazione di SSL per
Interfaccia xFlow
e CA Search Server, consultare la sezione Attivazione di Secure Socket Layer (SSL).
Questo articolo contiene i seguenti argomenti:
Verifica dei prerequisiti (configurazione SSL)
Verificare i prerequisiti seguenti prima di iniziare la configurazione SSL:
  • CA SDM è stato installato e configurato sul server in cui si desidera implementare il protocollo SSL.
  • Almeno due motori Web sono stati configurati e assegnati a un Web Director. Per ulteriori informazioni su come configurare i motori Web e i Web Director, consultare la sezione Modalità di configurazione dei processi per i server di CA SDM.
Impostazione della funzionalità del motore Web mediante i parametri Web Director
Dopo aver configurato per l'utilizzo di un Web Director, il modulo Web può gestire le richieste dei client Web. Il modulo Web può gestire le richieste di accesso (e reindirizzare i non accessi altrove) o le richieste di non accesso (e reindirizzare gli accessi altrove) o entrambi i tipi (modulo Web con scopo generale). Il parametro di WebDirector trovato nel file <Host_Name>-web[#].cfg determina la modalità utilizzata dal motore Web per gestire le richieste di accesso.
La tabella seguente mostra la relazione tra il ruolo del motore Web e l'impostazione dei parametri di Web Director:
Funzionalità del motore Web
Impostazioni parametro <Host_Name>-web[#].cfg’ ‘webdirector’
Gestione richieste di accesso
‘UseDirector AfterLogin’; ‘Willingness 0’
Gestione attività non di accesso
‘UseDirector BeforeLogin’; ‘Willingness [1 thru 10]’
Scopo generale
‘UseDirector Yes’; Willingness [1-10]’
Selezione dell'ambiente di accesso SSL
È possibile utilizzare Web Director per un accesso SSL in un ambiente Web SSL/non SSL misto per reindirizzare ogni richiesta di accesso Web ai motori Web SSL specifici. Tutte le altre richieste possono essere reindirizzate e gestite da motori Web non SSL.
Scegliere tra gli ambienti di accesso dello SSL seguenti:
Ambiente non SSL con bilanciamento del carico base
È possibile utilizzare il Web Director in un ambiente non SSL con un bilanciamento del carico di base. Web Director bilancia il carico su tutti i motori Web in base al valore del parametro disponibilità di ciascun motore Web. Ogni motore Web può gestire le richieste di accesso e non di accesso. Il protocollo HTTP viene utilizzato per le comunicazioni tra il client Web e il server Web.
Per ciascun motore Web controllato da Web Director, impostare i parametri webdirector nel file <
Host_Name
>-web[
#
].cfg del motore Web nel modo seguente:
  • UseDirector: Yes
  • WebDirectorSlumpName: (non modificare questo valore)
  • WillingnessValue: [da 1 a 10]
  • RedirectingURL: (il valore del protocollo aggiunto preventivamente può essere mancante o http)
Ambiente SSL globale con bilanciamento del carico base
È possibile utilizzare il Web Director in un ambiente SSL globale con un bilanciamento del carico di base. Web Director bilancia il carico su tutti i motori Web in base al valore del parametro disponibilità di ciascun motore Web. Ogni motore Web può gestire le richieste di accesso e non di accesso. Il protocollo HTTPS deve essere utilizzato per tutte le comunicazioni tra i client Web e il server Web.
Per ciascun motore Web controllato da Web Director, impostare i parametri webdirector nel file <
Host_Name
>-web[
#
].cfg del motore Web nel modo seguente:
  • UseDirector: Yes
  • WebDirectorSlumpName: (non modificare questo valore)
  • WillingnessValue: [da 1 a 10]
  • RedirectingURL: (il valore del protocollo aggiunto preventivamente deve essere https)
Accesso a un ambiente non SSL con bilanciamento del carico opzionale
È possibile utilizzare il Web Director per l'accesso a un ambiente non SSL con bilanciamento del carico di base. Il motore Web di tipo "solo richieste di accesso" gestisce solo le richieste di accesso. I restanti motori Web controllati da Web Director gestiscono tutte le altre richieste. Questo tipo di configurazione assegna l'intero onere della gestione delle richieste di accesso ai motori Web di tipo "solo richieste di accesso". Il protocollo HTTP viene utilizzato per le comunicazioni tra il client Web e il server Web.
Per i motori Web di tipo "solo richieste di accesso", impostare i parametri di Web Director nel file <
Host_Name
>-web[
#
].cfg del motore Web nel modo seguente:
  • UseDirector: AfterLogin
  • WebDirectorSlumpName: (non modificare questo valore)
  • WillingnessValue: 0
  • RedirectingURL: (il valore del protocollo aggiunto preventivamente può essere mancante o http)
Per i motori Web di tipo "non di accesso", impostare i parametri di Web Director nel file <
Host_Name
>-web[
#
].cfg del motore Web nel modo seguente:
  • UseDirector: Before Login
  • WebDirectorSlumpName: (non modificare questo valore)
  • WillingnessValue: [da 1 a 10]
  • RedirectingURL: (il valore del protocollo aggiunto preventivamente può essere mancante o http)
Accesso in un ambiente SSL misto con bilanciamento del carico opzionale
È possibile utilizzare il Web Director per l'accesso SSL in un ambiente SSL/non SSL con bilanciamento del carico opzionale. Ogni richiesta di accesso Web viene reindirizzata e gestita dai motori Web SSL, mentre altre richieste vengono gestite dai motori Web non SSL. Il protocollo HTTPS deve essere utilizzato per tutte le comunicazioni tra il client Web e i motori Web SSL.
Configurazione dell'ambiente di accesso SSL
La configurazione del protocollo SSL consente la crittografia delle transazioni Web, garantendo la massima protezione dei dati riservati, in particolar modo delle password. A seconda del tipo di configurazione, è possibile implementare un ambiente di accesso SSL sui server di CA SDM configurati.
Attenersi alla seguente procedura:
  1. Accedere al server seguente, a seconda della configurazione di CA SDM:
    • Disponibilità avanzata: server applicazioni
    • Convenzionale: server primario o secondario
  2. Verificare che il server abbia importato correttamente un certificato SSL.
  3. Creare una copia (con le relative sottodirectory) della directory '$NX_ROOT/bopcfg/www/wwwroot' e assegnarle il nome seguente:
    ‘$NX_ROOT/bopcfg/www/wwwrootsec’
  4. Aggiungere una nuova directory virtuale per il server Web chiamata CAisdsec.
  5. Associare la directory virtuale alla directory fisica seguente:
    ‘$NX_ROOT/bopcfg/www/wwwrootsec’
  6. Verificare che le autorizzazioni della directory virtuale per CAisdsec corrispondano alle autorizzazioni della directory virtuale CAisd per l'esecuzione degli script. Abilitare il protocollo SSL per la directory virtuale CAisdsec.
    In questo esempio, CAisdsec è definita dall'utente e può essere rinominata.
  7. Salvare le modifiche.
    I Web Director non usano un file <Host_Name>-web[#].cfg. I motori Web, invece, richiedono un file <Host_Name>-web[#].cfg univoco. Durante l'esecuzione della configurazione, vengono generati automaticamente dei file web.cfg di esempio. È possibile importare le modifiche del file web.cfg originale nei nuovi file di configurazione Web specificando il file web.cfg originale come file modello da utilizzare.
  8. Copiare e salvare copie di backup dei file seguenti, che possono essere utili nel caso si desideri ripristinare l'ambiente originale:
    • $NX_ROOT/pdmconf/pdm_startup.tpl
    • $NX_ROOT/pdmconf/pdm_startup
    • $NX_ROOT/bopcfg/www/web.cfg file
    • Qualsiasi file primary-web[#].cfg esistente
    • $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml e web.xml.tpl
    • Per la configurazione di un server secondario, salvare le copie di backup di tutti i file esistenti $NX_ROOT/bopcfg/www/web.cfg o <Secondary_Server_Host_Name>-web[#].cfg e $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml*
  9. Per ciascun motore Web assegnato a un Web Director, assicurarsi che i parametri (<Host_Name>-web[#].cfg 'webdirector') del motore Web siano impostati correttamente esaminando il file in un editor di testo. Se necessario, modificare i valori del parametro 'webdirector' in modo che riflettano il ruolo del motore Web desiderato. Quindi copiarli nella directory: $NX_ROOT/bopcfg/www.
  10. Spostare tutti i file $NX_ROOT/samples/pdmconf/primary-web[#].cfg nella directory $NX_ROOT/bopcfg/www.
    Per la configurazione del server secondario, spostare tutti i file $NX_ROOT/samples/pdmconf/’secondary_server_name-web[#].cfg’ dal server primario alla directory $NX_ROOT/bopcfg/www del server secondario.
  11. Se si utilizza un server servlet come Tomcat, CA SDM crea file web.xml che possono sostituire il file web.xml su ciascun server che ospita un modulo Web. Questi file sono chiamati primary-web.xml. Rinominare i file e copiarli nella directory: $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF.
    Se si utilizza un server HTTP quale IIS o Apache, è necessario creare copie del file pdmweb.exe nella directory $NX_ROOT/bopcfg/www/wwwroot, un file pdmweb[#].exe per ciascun motore Web e un file pdmweb_d[#].exe per ciascun Web Director che è stato configurato. Accertarsi che i nomi assegnati a pdmweb[#].exe e pdmweb_d[#].exe siano conformi ai valori CGI I/F appropriati (ad esempio, pdmweb1.exe, pdmweb2.exe, pdmweb_d1.exe e così via).
  12. Se si utilizza IIS e si desidera aggiungere le estensioni del server per ogni interfaccia CGI, è possibile copiare il file primary-site.dat nella directory locale $NX_ROOT/bopcfg/www come site.dat. Quando il sistema viene riconfigurato, queste estensioni in locale vengono aggiunte a IIS.
  13. Riconfigurare il server primario senza reinizializzare il database e avviare i servizi.
  14. Dopo la riconfigurazione, verificare la validità delle impostazioni correnti. Avviare i daemon di CA SDM. Verificare che non vi siano errori nei file stdlog. Utilizzare pdm_status per visualizzare i daemon e il loro stato. Utilizzare http://localhost:8080/CAisd/pdmweb.exe per accedere al sistema.
  15. Per l'integrazione di gestione della conoscenza in CA SDM, se SSL è stato abilitato per CA SDM, è necessario modificare il valore del protocollo dell'URL di CA SDM.
    1. In Strumenti della conoscenza, Gestione impostazioni, Generale, Integrazione, modificare il valore del protocollo dell'URL di CA SDM da http in https.
    2. Salvare e uscire.
  16. Aprire la pagina di accesso a CA SDM nel browser Web, quindi verificare che un utente possa accedere e venga rispettato il comportamento previsto per il reindirizzamento/l'accesso.
Implementazione dell'ambiente di accesso SSL
Per implementare l'accesso SSL che è stato configurato, modificare i valori dei parametri di Web Director.
Attenersi alla seguente procedura:
  1. Per i motori Web di accesso protetto, modificare il file <Host_Name>-web[#].cfg nel modo seguente:
    1. Modificare il valore del parametro CAisd da /CAisd a /CAisdsec.
    2. Modificare il valore del parametro UseDirector da Yes ad AfterLogin se Web director utilizza l'autenticazione pass-through.
    3. Modificare il valore del parametro Willingness da 5 a 0.
    4. Verificare che il valore del protocollo RedirectingURL sia riportato come HTTPS.
    5. Modificare il valore dell'URL di reindirizzamento <cgi directory> da CAisd a CAisdsec.
    6. Salvare le modifiche.
  2. Per motori Web non protetti che gestiscono tutte le altre attività, modificare i file <Host_Name>-web[#].cfg come segue:
    1. Verificare che il valore del parametro CAisd sia /CAisd.
    2. Modificare il valore del parametro UseDirector da Sì a BeforeLogin.
    3. Mantenere il valore di Willingness su 5 oppure impostarlo su un valore intero compreso tra 1 e 10, in base al carico desiderato.
    4. Verificare che il protocollo del valore RedirectingURL sia riportato come https.
    5. Verificare che il valore di RedirectingURL<cgi directory> sia CAisd.
    6. Salvare le modifiche.
      Dopo la configurazione, riavviare Service Desk. Dopo che il servizio è stato riavviato, verificare l'accesso accedendo al motore Web non SSL mediante HTTP. Verificare se si viene reindirizzati al motore Web sicuro HTTPS per l'accesso. Una volta effettuato l'accesso, si viene reindirizzati automaticamente al motore Web HTTP non SSL per le normali attività di Service Desk.
Verifica dell'ambiente di accesso SSL
È possibile verificare l'ambiente di accesso SSL per i motori Web.
Attenersi alla seguente procedura:
  • I motori Web di accesso protetto devono risiedere nella directory fisica associata alla directory virtuale SSL (CAisdsec in questo esempio).
    Per i motori Web di accesso protetto, creare istanze del file pdmweb.exe nella directory $NX_ROOT/bopcfg/www/wwwrootsec e assegnare loro il nome di pdmweb[#].exe. Il nome dell'eseguibile deve corrispondere al valore CGI I/F per ogni motore Web di accesso protetto.
    Esempio: Se a pdmweb2 è stato assegnato il valore CGI I/F del motore Web di accesso protetto, creare una copia fisica di pdmweb.exe e assegnarvi il nome pdmweb2.exe.
  • I motori Web non protetti e i Web Director devono risiedere nella directory fisica associata alla directory virtuale non SSL CAisd.
    Per i motori Web di accesso non protetto e per i Web Director, creare nuove istanze di pdmweb.exe nella directory $NX_ROOT/bopcfg/www/wwwroot. Una copia di pdmweb.exe deve esistere per ciascun motore Web non protetto e Web Director configurato. Rinominare le copie in modo che i nuovi nomi degli eseguibili corrispondano ai valori CGI I/F definiti per i motori Web e per i Web Director.
    Esempio: Se al motore Web non protetto è stato assegnato il valore CGI I/F pdmweb3 e il valore pdmweb_d1 al Web Director, creare due copie di pdmweb.exe. Ridenominare la prima copia in pdmweb3.exe e la seconda copia in pdmweb_d1.exe.
Configurazione di SSL per il server Tomcat
Configurare SSL sui server Tomcat nell'ambiente di CA SDM.
Attenersi alla procedura seguente:
  1. Per creare un archivio chiavi su ciascun server di CA SDM che richiede un certificato SSL, attenersi ai passaggi seguenti:
    Un keystore è un'unità di archiviazione per certificati, nella quale i certificati vengono importati. Tomcat indica quindi di utilizzare il keystore e i certificati per SSL.
    1. Creare una directory nell'unità C: (o l'unità locale) con il nome certificates.
    2. Mediante la riga di comando, accedere alla directory bin JRE (per il JRE installato con Service Desk è di solito /SC/JRE)
    3. Eseguire il comando keytool -genkey -alias tomcat -keyalg RSA -keystore c:/certificates/.keystore.
    4. Compilare i campi in modo appropriato (prendere nota dei dati inseriti in ogni campo in quanto queste informazioni potrebbero essere richieste in seguito.).
      Un file .keystore viene creato nella directory C:\certificates\.
  2. Generare la richiesta di certificato per ciascun server. Eseguire i passaggi seguenti per generare la richiesta di certificato:
    1. Mediante la riga di comando, accedere alla directory bin JRE (per il JRE installato con Service Desk è di solito /SC/JRE)
    2. Eseguire il comando keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr
      Un file .csr viene creato nella directory c:/certificates su ciascun server in cui si è generata la richiesta di certificato.
    3. Inviare i file .csr a un vendor a scelta che genererà i certificati appropriati necessari in base a delle richiesta di certificato per ciascun server.
      Ogni certificato che si riceve da ciascun fornitore è differente. Alcuni fornitori invieranno più certificati, includendo probabilmente un certificato principale, un certificato intermedio e un certificato di autorità. Ciascun vendor ha istruzioni differenti riguardo a quali certificati da esso forniti devono essere importati nell'archivio chiavi. È consigliabile chiedere al vendor specifico utilizzato per generare i certificati le istruzioni specifiche su come importare i propri certificati nell'archivio chiavi Tomcat.
      Una volta ricevute le istruzioni specifiche dal vendor, è possibile seguirle per importare i certificati appropriati nell'archivio chiavi su ciascun server. Una volta completata questa operazione, è possibile configurare Tomcat su Service Desk in modo da indicare l'archivio chiavi in cui i certificati sono stati importati.
  3. Aprire il file \bopcfg\www\CATALINA_BASE\conf\server.xml mediante un editor di testo e individuare quanto segue:
    <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>
    </Connector>-->
  4. Modificare il codice come segue:
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true"
    keystoreFile="C:\certs\keystore.jks" keystorePass="password">
    <!--<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>-->
    </Connector>
    Assicurarsi di eliminare i tag <-- e --> che attualmente aggiungono un commento al connettore HTTPS/SSL per Tomcat, quindi di impostare il percorso e la password appropriati per il keystore generato all'inizio.
  5. Salvare il file server.xml.
  6. Riavviare Tomcat mediante i comandi seguenti:
    pdm_tomcat_nxd - c stop pdm_tomcat_nxd - c start
    Si consiglia di riavviare tutti i server di CA SDM per garantire il riavvio di Tomcat.
  7. Verificare la connessione SSL di Tomcat aprendo un browser e andando all'URL di Service Desk, mediante il protocollo HTTPS e la porta di Tomcat. Ad esempio, utilizzare l'URL seguente:
    https://servername:8443/CAisd/pdmweb.exe
    Si apre la schermata di accesso di Service Desk. SSL su Tomcat è stato configurato correttamente.
Configurazione di SSL su IIS
Per ulteriori informazioni sulla configurazione dell'autenticazione su IIS, consultare la Documentazione di Microsoft.