Strategy ONE

Linux 安全部署

强烈建议进行安全部署。在安全部署场景中,您可以将 HTTPS/TLS 支持添加到 Library 应用。服务器进程将保留在同一台机器上,但将通过安全通道相互通信。

执行以下步骤以启用 Library Windows 服务器上的应用程序和服务。这些说明假设默认部署已经完成,并且 Intelligence Server 已经启用 TLS。

准备文件以进行安全部署

联系您的系统管理员 获取以下文件和信息:

  • PKCS12 或 PFX 格式的“密钥库”文件,其中包含此机器的私钥和公共证书。在示例中,该文件保存为 keystore.pfx

    对协作服务器和 Tomcat 使用同一个文件。

    协作服务器仅支持 PKCS12 或 PFX 格式。

  • 用于创建密钥库文件的密码。

    需要密码才能读取密钥库的内容。在示例中,密码是“keystore_password”。

  • 如果服务器/叶证书最终未由公共证书颁发机构签名,则收集所有 PEM 格式的证书。这应该包括链中的所有证书。“证书”文件允许协作服务器打开与 Library 服务器。

  • “信任存储”文件(可以从证书创建)和使用的密码。

    信任存储文件由 Library 服务器打开与协作服务器的安全连接。

    仅当证书未由公共证书颁发机构签名时才需要这样做。

    在示例中,文件保存为 truststore.pfx 密码是“truststore_password”。

将步骤1中获得的文件复制到以下目录中:

<INSTALL_PATH>/CollaborationServer

设置安全 JEE 应用服务器

配置 Tomcat 使用 HTTPS,以将 Tomcat 配置为安全端点:

  1. 打开以下目录:

    <TOMCAT_INSTALL_DIRECTORY>/conf

  2. 打开 server.xml 使用文本编辑器编辑文件。

  3. 查找端口为 8443 的连接器元素。确保它没有被注释掉。如果连接器不存在,请添加它。

  4. 编辑此元素的“keystoreFile”和“keystorePass”属性。

    <Connector protocol="org.apache.coyote.http11.Http11NioProtocol" port="8443" maxThreads="200" scheme="https" secure="true" SSLEnabled="true" keystoreFile="<INSTALL_PATH>/CollaborationServer/keystore.pfx" keystorePass="<keystore_passphrase>" clientAuth="false" sslProtocol="TLS"/>

  5. 保存并关闭文件。

您可以参考以下更详细的说明 Tomcat 文档

设置安全 MicroStrategy Library 服务器

修改 MicroStrategy Library 服务器设置以打开与协作服务器的安全连接:

  1. 导航到以下目录:

    <TOMCAT_INSTALL_DIRECTORY>/webapps/MicroStrategyLibrary/WEB-INF/classes/config

  2. 编辑 configOverride.properties 文件:

    复制 
    services.collaboration.baseURL=https://<FQDN>:3000
    // set tlsEnabled to true only when the certificate is not assigned by a public certificate authority
    services.collaboration.tlsEnabled=true
    trustStore.path=\WEB-INF\truststore.pfx
    trustStore.passphrase=<truststore_password>

    所有参数均区分大小写。阅读说明 协作服务器配置属性 了解更多信息。

  3. 保存并关闭文件。

  4. 重新启动 Tomcat 服务器。

  5. 验证 MicroStrategy Library 服务器正在运行:

    • 打开 Web 浏览器并输入 https://FQDN:8443/MicroStrategyLibrary

    • 如果你看到登录页面,那么 MicroStrategy Library 服务器正在运行。

设置安全协作服务器

修改协作服务器设置:

  1. 编辑 config.json 文件位于:

    <INSTALL_PATH>/CollaborationServer

  2. 将以下行插入到文件中。这些引用了我们之前创建的安全工件。

    复制 
    "enableTls": true,
    "keystoreFile": "<INSTALL_PATH>/CollaborationServer/keystore.pfx",
    "passphrase": "<keystore_passphrase>",
    "trustedCerts": [ "<INSTALL_PATH>/CollaborationServer/certificate.pem" ]

    所有参数均区分大小写。阅读说明 协作服务器配置属性 了解更多信息。

  3. 修改 authorizationServerUrl 字段中的 config.json 文件指定“https”、HTTPS 端口(8443)并将“localhost”替换为此机器的完全限定域名(FQDN)。

    它看起来应该像这样:

    authorizationServerUrl: https://<FQDN>:8443/MicroStrategyLibrary/api

  4. 确保该文件仍然是有效的 JSON。将文本复制到互联网 JSON 验证器 核实。

  5. 保存该文件。

  6. 重新启动协作服务器。

  7. 验证协作服务器是否正在运行:

    • 打开网络浏览器并输入 https://FQDN:3000/status

    • 如果您看到一个网页(没有错误),则表明协作服务器正在运行。

注意以下事项:

  • JEE 应用服务器 – 密钥库

    这用于建立 JEE 应用服务器的身份,其中包含 MicroStrategy Library 服务器。这在系统配置文件中发生了改变。例如, server.xml Tomcat 安装中的文件。

  • MicroStrategy Library 服务器 – 信任存储

    当服务器证书未由公共证书颁发机构签名时,用于验证协作服务器和/或智能服务器的身份以进行传出的 HTTPS/TLS 调用。信任存储在 configOverride.properties 文件。

  • MicroStrategy 协作服务器 – 密钥库/证书

    密钥库用于 Library Web/移动客户端和协作服务器。该证书用于验证 Library 服务器。密钥库和证书在 config.json 文件。