MicroStrategy ONE
Integración del almacén de certificados con MicroStrategy Library
El almacén de certificados sirve principalmente como fuente de datos expuesta a través de una API REST. Esta fuente de datos proporciona los datos que se mostrarán en la sección Certificados de la ventana Estación de trabajo.
Integración con MicroStrategy Library
Para integrar el almacén de certificados con MicroStrategy Library, puede seleccionar Almacén de certificados al instalar Library. Esto garantizará que la API REST del almacén de certificados parezca parte de todo el MicroStrategy Conjunto de API REST.
Entonces, aunque parece que la API REST del almacén de certificados (/api/servicioCertificados) se sirve desde el mismo punto final web que las otras API; en realidad, las solicitudes realizadas al /api/servicioCertificados El punto final en realidad se redirige al servidor del almacén de certificados. Esta redirección se logra mediante un servlet proxy configurado en el Library archivo web.xml.
El instalador configura el servlet y toma todas las URL que coinciden con la propiedad url-pattern y las redirige a la URL especificada en el objetivoUri propiedad. Si está modificando esta configuración para agregar o eliminar compatibilidad con SSL, debe actualizar la objetivoUri propiedad para que especifique "http" o "https".
Si se utilizan certificados autofirmados, las propiedades trustAllCertificates y enableHostnameVerification deben establecerse en verdadero. Si un usuario cambia de certificados autofirmados a certificados asignados por una CA, debe configurar ambos certificados en FALSO para recibir los beneficios del certificado asignado por CA.
<servlet>
<servlet-name>CertificateManagerService</servlet-name>
<servlet-class>org.mitre.dsmiley.httpproxy.ProxyServlet</servlet-class>
<init-param>
<param-name>targetUri</param-name>
<param-value>http://localhost:5050/api/serviceCertificates</param-value>
</init-param>
<init-param>
<param-name>log</param-name>
<param-value>true</param-value>
</init-param>
<!-- SSL SUPPORT START - The following group of parameters are only relevant when the targetUri above uses the "https" protocol. -->
<init-param>
<param-name>truststorePath</param-name>
<param-value>{PATH_TO_TRUSTSTORE}</param-value>
</init-param>
<init-param>
<param-name>truststoreType</param-name>
<param-value>PKCS12</param-value>
</init-param>
<init-param>
<param-name>truststorePassword</param-name>
<param-value>{TRUSTSTORE_PASSWORD_OR_BLANK_IF_NONE}</param-value>
</init-param>
<init-param>
<param-name>keyPassword</param-name>
<param-value>{KEY_PASSWORD_OR_BLANK_IF_NONE}</param-value>
</init-param>
<!-- DEVELOPMENT - START - The following parameters are for development/debugging use only and should not be set to TRUE in production systems. -->
<init-param>
<param-name>trustAllCertificates</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>disableHostnameVerification</param-name>
<param-value>false</param-value>
</init-param>
<!-- DEVELOPMENT END -->
<!-- SSL SUPPORT END -->
</servlet>
<servlet-mapping>
<servlet-name>CertificateManagerService</servlet-name>
<url-pattern>/api/serviceCertificates/*</url-pattern>
</servlet-mapping>Donde:
- ruta del almacén de confianza se utiliza para cargar el almacén de confianza que es manejado por ServletContext.getResourceAsStream().
Las reglas de ruta para este método se pueden encontrar en la documentación de oracle. El camino debe comenzar con una barra. (/) y se interpreta como relativo a la raíz del contexto actual o relativo al /META-INF/recursos directorio de un archivo JAR dentro del directorio / de la aplicación webWEB-INF/lib directorio. El separador de ruta es una barra diagonal (/) tanto en Unix como en Windows.
- tipo de almacén de confianza acepta una variedad de tipos de almacén de claves/almacén de confianza; para obtener una lista completa, consulte la Documentación de Java SE. MicroStrategy Soporta JKS y PKCS12.
Propiedades de configuración del almacén de certificados
La configuración del almacén de certificados se puede cambiar editando el propiedades.de.aplicación archivo. Todos los parámetros distinguen entre mayúsculas y minúsculas y deben ingresarse correctamente para que los cambios surtan efecto.
El propiedades.de.aplicación puede encontrarse en:
- Windows: <INSTALL_PATH>\MicroStrategy\Administrador de certificados
- Linux: <INSTALL_PATH>/Administrador de certificados
Este archivo incluye las siguientes propiedades:
| Propiedad | Detalles | Notas |
|---|---|---|
|
dirección del servidor |
Dirección IP que el almacén de certificados utilizará para escuchar las solicitudes entrantes de API REST. De forma predeterminada, esto está configurado en 127.0.0.1 para restringir el acceso a los procesos en la misma máquina. Para escuchar en todas las direcciones IP, especifique 0.0.0.0 como dirección. |
Si modifica cualquiera de estas tres configuraciones, asegúrese de realizar el cambio correspondiente en la objetivoUri propiedad del servlet proxy descrito anteriormente.
|
|
Puerto de servicio |
El puerto IP que el almacén de certificados utilizará para escuchar las solicitudes entrantes de API REST. |
|
|
servidor.servlet.ruta-contexto |
Ruta al punto final del almacén de certificados. |
|
|
server.ssl.key-store |
La ruta al archivo de almacén de claves PKCS12 o PFX, p.ej ruta de clase:/opt/mstr/MicroStrategy/instalar/ su-cert.crt |
Esta configuración es relevante solo si la API REST del almacén de certificados se ejecuta a través de HTTPS.
|
|
server.ssl.key-store-contraseña |
Frase de contraseña para el archivo del almacén de claves |
|
|
servidor.ssl.clave-contraseña |
Frase de contraseña para la clave contenida en el almacén de claves |
|
|
servidor.ssl.keyStoreType |
Tipo de almacén de claves, el valor predeterminado es PKCS12 |
|
|
servidor.ssl.alias-clave |
Alias de clave en el almacén de claves, utilizado si el almacén de claves contiene varias claves |
|
|
tiempo.máximo.de.recuperación.de.certificado.segundos |
Cantidad máxima de tiempo para permitir la recuperación de todos los certificados de los servicios definidos. El valor predeterminado es 30 segundos, lo que debería ser tiempo más que suficiente para los servicios definidos en 11.1. |
|
|
cónsul.host |
Dirección IP del agente cónsul |
Estas configuraciones controlan a qué agente de Consul se contacta para obtener la lista de servicios definidos y con qué frecuencia se contacta al agente para actualizar esa lista. La configuración predeterminada debería ser suficiente para la mayoría de las instalaciones y los usuarios no deberían necesitar cambiarla. |
|
cónsul del puerto |
Puerto IP del agente cónsul |
|
|
cónsul.initialDelay.milisegundos |
Retraso (en milisegundos) antes de la conexión inicial con Consul |
|
|
cónsul.fixedRate.milisegundos |
Intervalo (en milisegundos) entre cada conexión a Cosul |
|
|
wss.servidor.host |
Dirección IP de Socket.io |
Estas dos configuraciones controlan la Enchufe.io punto final al que las GUI pueden conectarse para recibir async. actualizaciones sobre los servicios existentes y el estado de sus certificados. Tenga en cuenta que el firewall debe permitir el acceso WebSocket a este punto final (similar al Enchufe.io conexión en Collaboration Server) |
|
puerto.servidor.wss |
Puerto IP Socket.io |
|
|
primavera.correo.host |
Dirección IP del servidor de correo |
Estas configuraciones configuran cómo el almacén de certificados se comunica con un host de correo electrónico. El valor predeterminado es utilizar SMTP, pero el usuario debe proporcionar la dirección IP, etc. De forma predeterminada, el instalador no configura esto y el usuario debe habilitarlo manualmente. |
|
puerto.de.correo.de.primavera |
Puerto IP del servidor de correo |
|
|
protocolo.de.correo.de.primavera |
Protocolo de servidor de correo (SMTP) |
|
|
spring.mail.properties.mail.smtp.connectiontimeout |
Tiempo de espera para conectarse al servidor de correo |
|
|
spring.mail.properties.mail.smtp.tiempo de espera |
|
|
|
spring.mail.properties.mail.smtp.writetimeout |
Se agotó el tiempo de envío de datos al servidor de correo |
|
|
spring.mail.codificación predeterminada |
Codificación utilizada para enviar datos al host de correo. |
|
|
caducidad.notificación.días |
|
El almacén de certificados escanea periódicamente los certificados que encuentra para buscar aquellos que hayan caducado o caduquen en los próximos {caducidad.notificación.días} días. Esta configuración controla este proceso de escaneo de certificados y define qué dirección de correo electrónico recibirá las notificaciones. Se pueden especificar varias direcciones de correo electrónico mediante una lista separada por comas, p. caducidad.notificación.correo electrónico=usuario1@dominio.net,usuario2@dominio.net No se envían notificaciones si el correo electrónico de vencimiento.notificación.email está vacío. Se debe especificar expiry.notification.email.from para que los correos electrónicos se envíen correctamente. |
|
caducidad.check.initialDelay.milisegundos |
Retraso (en milisegundos) antes de que se analicen los certificados en busca de certificados caducados. |
|
|
caducidad.comprobar.tasafija.milisegundos |
Intervalo entre cada escaneo de certificados caducados/caducados. |
|
|
caducidad.notificación.correo electrónico |
|
|
|
notificación.de.caducidad.correo.electrónico.de |
|
|
|
nombre de perfil |
Una configuración del marco Spring utilizada para seleccionar un perfil dentro de la aplicación. |
Un perfil recopila diferentes propiedades de configuración en un archivo para que puedan aplicarse juntas. No se recomienda cambiar el perfil a nada que no sea pinchar. |
Consideraciones en entornos agrupados
El proceso del almacén de certificados normalmente escucha las solicitudes de API REST en localhost:5050. El servidor está vinculado a la interfaz loopback para que solo los procesos en la misma máquina puedan realizar solicitudes API.
En un entorno agrupado, hay un proceso de almacén de certificados en cada nodo. Debido a que el Almacén de certificados genera sus datos a partir de los servicios registrados con Consul, y Consul contiene entradas para todos los nodos, el Almacén de certificados contendrá entradas para todos los servicios en el clúster y no aquellos servicios en el nodo actual. Sin embargo, debido a que algunos servicios están vinculados a la dirección de bucle invertido, algunos certificados no se podrán recuperar de otros nodos del clúster.
Otro Library Consideraciones
Si tu Library la instalación no tiene un almacén de certificados, es posible que el servlet proxy aún esté configurado, sin embargo, objetivoUri no apuntará a un punto final válido. Los usuarios con esta configuración recibirán un error 502 Bad Gateway (u otros errores HTTP de nivel 5xx). Para resolver estos errores, puede instalar el almacén de certificados o eliminar la configuración del servlet proxy del Library archivo web.xml.