MicroStrategy ONE

인증서 저장소 통합 MicroStrategy Library

인증서 저장소는 주로 REST API를 통해 노출되는 데이터 소스 역할을 합니다. 이 데이터 소스는 Workstation 창의 인증서 섹션에 표시할 데이터를 제공합니다.

통합 MicroStrategy Library

인증서 저장소를 다음과 통합하려면 MicroStrategy Library, 설치 시 인증서 저장소를 선택할 수 있습니다. Library. 이렇게 하면 인증서 저장소 REST API가 전체 인증서의 일부로 표시됩니다. MicroStrategy REST API 제품군.

따라서 인증서 저장소 REST API(/api/service인증서)는 다른 API와 동일한 웹 엔드포인트에서 제공되며 실제로는 /api/service인증서 끝점은 실제로 인증서 저장소 서버로 리디렉션됩니다. 이 리디렉션은 다음에 구성된 프록시 서블릿에 의해 수행됩니다. Library web.xml 파일.

서블릿은 설치 프로그램에 의해 구성되며 url-pattern 속성과 일치하는 모든 URL을 가져와서 targetUri 재산. SSL 지원을 추가하거나 제거하기 위해 이러한 설정을 변경하는 경우 targetUri "http" 또는 "https"를 지정하도록 속성을 지정합니다.

자체 서명된 인증서를 사용하는 경우 trustAllCertificates 및 비활성화HostnameVerification 속성을 다음으로 설정해야 합니다. 진실. 사용자가 자체 서명된 인증서에서 CA 할당 인증서로 전환하는 경우 두 인증서를 모두 다음으로 설정해야 합니다. 거짓 CA 할당 인증서의 혜택을 받으려면

복사 
<servlet>
<servlet-name>CertificateManagerService</servlet-name>
<servlet-class>org.mitre.dsmiley.httpproxy.ProxyServlet</servlet-class>
<init-param>
<param-name>targetUri</param-name>
<param-value>http://localhost:5050/api/serviceCertificates</param-value>
</init-param>
<init-param>
<param-name>log</param-name>
<param-value>true</param-value>
</init-param>
<!-- SSL SUPPORT START - The following group of parameters are only relevant when the targetUri above uses the "https" protocol. -->
<init-param>
<param-name>truststorePath</param-name>
<param-value>{PATH_TO_TRUSTSTORE}</param-value>
</init-param>
<init-param>
<param-name>truststoreType</param-name>
<param-value>PKCS12</param-value>
</init-param>
<init-param>
<param-name>truststorePassword</param-name>
<param-value>{TRUSTSTORE_PASSWORD_OR_BLANK_IF_NONE}</param-value>
</init-param>
<init-param>
<param-name>keyPassword</param-name>
<param-value>{KEY_PASSWORD_OR_BLANK_IF_NONE}</param-value>
</init-param>
<!-- DEVELOPMENT - START - The following parameters are for development/debugging use only and should not be set to TRUE in production systems. -->
<init-param>
<param-name>trustAllCertificates</param-name>
<param-value>false</param-value>
</init-param>
<init-param>
<param-name>disableHostnameVerification</param-name>
<param-value>false</param-value>
</init-param>
<!-- DEVELOPMENT END -->
<!-- SSL SUPPORT END -->
</servlet>
<servlet-mapping>
<servlet-name>CertificateManagerService</servlet-name>
<url-pattern>/api/serviceCertificates/*</url-pattern>
</servlet-mapping>

여기서

  • 신뢰 저장소 경로 에 의해 처리되는 신뢰 저장소를 로드하는 데 사용됩니다. ServletContext.getResourceAsStream().  

    이 방법의 경로 규칙은 다음에서 찾을 수 있습니다. 오라클 문서. 경로는 슬래시로 시작해야 합니다. (/) 현재 컨텍스트 루트 또는 컨텍스트 루트를 기준으로 해석됩니다. /META-INF/자원 웹 애플리케이션 내부의 JAR 파일 디렉토리 /WEB-INF/lib 예배 규칙서. 경로 구분 기호는 슬래시(/) Unix와 Windows 모두에서.

  • 신뢰 저장소 유형 다양한 키 저장소/신뢰 저장소 유형을 허용합니다. 전체 목록은 다음을 참조하세요. 자바 SE 문서. MicroStrategy JKS 및 PKCS12를 지원합니다.

인증서 저장소 구성 속성

인증서 저장소 설정은 다음을 편집하여 변경할 수 있습니다. 애플리케이션.속성 파일. 모든 매개변수는 대소문자를 구분하며 변경 사항을 적용하려면 올바르게 입력해야 합니다.

그만큼 애플리케이션.속성 다음에서 찾을 수 있습니다:

  • Windows: <INSTALL_PATH>\MicroStrategy\인증서 관리자
  • Linux: <INSTALL_PATH>/인증서 관리자

이 파일에는 다음 속성이 포함되어 있습니다.

속성 세부 사항 참고 사항

서버 주소

IP 주소 인증서 저장소는 들어오는 REST API 요청을 수신하는 데 사용됩니다. 기본적으로 이는 동일한 시스템의 프로세스에 대한 액세스를 제한하기 위해 127.0.0.1로 설정됩니다.

모든 IP 주소를 수신하려면 주소로 0.0.0.0을 지정하십시오.

  이 세 가지 설정 중 하나를 수정하는 경우 해당 설정을 변경해야 합니다. targetUri 위에서 설명한 프록시 서블릿의 속성입니다.

 

서버 포트

IP 포트 인증서 저장소는 들어오는 REST API 요청을 수신하는 데 사용됩니다.

server.servlet.context-경로

인증서 저장소 끝점의 경로입니다.

server.ssl.key-store

PKCS12 또는 PFX 키 저장소 파일의 경로,

예를 들어 클래스 경로:/opt/mstr/MicroStrategy/설치하다/

귀하의 인증서.crt

 

이러한 설정은 인증서 저장소의 REST API가 HTTPS를 통해 실행되는 경우에만 관련됩니다.

 

server.ssl.key-store-password

키 저장소 파일의 암호

server.ssl.key-비밀번호

키 저장소에 포함된 키의 암호

server.ssl.keyStoreType

키 저장소 유형, 기본값은 PKCS12

server.ssl.key-alias

키 저장소에 여러 키가 포함된 경우 사용되는 키 저장소의 키 별칭

최대.인증서.검색.시간.초

정의된 서비스에서 모든 인증서를 검색하는 데 허용되는 최대 시간입니다. 기본값은 30초이며 이는 11.1에 정의된 서비스에 충분한 시간 이상입니다.

  

영사 호스트

영사 에이전트의 IP 주소

이러한 설정은 정의된 서비스 목록을 위해 어떤 Consul 에이전트에 접속하는지, 해당 목록을 새로 고치기 위해 에이전트에 접속하는 빈도를 제어합니다. 대부분의 설치에는 기본 설정이면 충분하며 사용자는 이를 변경할 필요가 없습니다.

항구 영사

Consul 에이전트의 IP 포트

consul.initialDelay.밀리초

Consul에 처음 연결되기 전 지연(밀리초)

consul.fixedRate.milliseconds

Cosul에 대한 각 연결 사이의 간격(밀리초)

wss.서버.호스트

Socket.io IP 주소

이 두 가지 설정은 Socket.io GUI가 비동기 수신을 위해 연결할 수 있는 엔드포인트입니다. 기존 서비스 및 해당 인증서 상태에 관한 업데이트. 방화벽은 이 엔드포인트에 대한 WebSocket 액세스를 허용해야 합니다( Socket.io Collaboration Server에서 연결)

wss.서버.포트

Socket.io IP 포트

spring.mail.host

메일 서버 IP 주소

이러한 설정은 인증서 저장소가 이메일 호스트와 통신하는 방법을 구성합니다. 기본값은 SMTP를 사용하는 것이지만 사용자는 IP 주소 등을 제공해야 합니다. 기본적으로 이는 설치 프로그램에 의해 구성되지 않으며 사용자가 수동으로 활성화해야 합니다.

spring.mail.port

메일 서버 IP 포트

spring.mail.프로토콜

메일 서버 프로토콜(SMTP)

spring.mail.properties.mail.smtp.connectiontimeout

메일 호스트 연결 시간 초과

spring.mail.properties.mail.smtp.timeout

 

spring.mail.properties.mail.smtp.writetimeout

메일 호스트로 데이터 전송 시간 초과

spring.mail.default-인코딩

메일 호스트로 데이터를 보내는 데 사용되는 인코딩

만료.알림.일

 

인증서 저장소는 만료되었거나 다음 {만료.알림.일} 날.

이러한 설정은 이 인증서 검색 프로세스를 제어하고 알림을 받을 이메일 주소를 정의합니다.

여러 이메일 주소를 쉼표로 구분된 목록으로 지정할 수 있습니다.

expiry.notification.email=user1@domain.net,user2@domain.net

expiry.notification.email이 비어 있으면 알림이 전송되지 않습니다.

이메일을 성공적으로 보내려면 expiry.notification.email.from을 지정해야 합니다.

만료.check.initialDelay.밀리초

인증서에서 만료된 인증서를 검색하기 전의 지연 시간(밀리초)입니다.

만료.check.fixedRate.밀리초

만료/만료되는 인증서에 대한 각 검색 사이의 간격입니다.

만료.알림.이메일

 

만료.알림.이메일.보낸 사람

 

프로필.이름

애플리케이션 내에서 프로필을 선택하는 데 사용되는 Spring 프레임워크 설정입니다.

프로필은 서로 다른 구성 속성을 하나의 파일에 함께 수집하여 함께 적용할 수 있습니다. 프로필을 다른 것으로 변경하는 것은 권장되지 않습니다. 찌르다.

클러스터된 환경의 고려 사항

인증서 저장소 프로세스는 일반적으로 localhost:5050에서 REST API 요청을 수신합니다. 서버는 루프백 인터페이스에 바인딩되어 동일한 시스템의 프로세스만 API 요청을 할 수 있습니다.

클러스터 환경에서는 각 노드에 인증서 저장소 프로세스가 있습니다. 인증서 저장소는 Consul에 등록된 서비스에서 데이터를 구축하고 Consul은 모든 노드에 대한 항목을 포함하므로 인증서 저장소에는 현재 노드의 서비스가 아닌 클러스터의 모든 서비스에 대한 항목이 포함됩니다. 그러나 일부 서비스는 루프백 주소에 바인딩되어 있으므로 일부 인증서는 클러스터의 다른 노드에서 검색할 수 없습니다.

다른 Library 고려사항

만약 당신의 Library 설치에 인증서 저장소가 없습니다. 프록시 서블릿이 계속 구성될 수 있지만 targetUri 유효한 엔드포인트를 가리키지 않습니다. 이 구성을 사용하는 사용자는 502 잘못된 게이트웨이 오류(또는 기타 5xx 수준 HTTP 오류)를 받게 됩니다. 이러한 오류를 해결하려면 인증서 저장소를 설치하거나 인증서 저장소에서 프록시 서블릿 구성을 제거하면 됩니다. Library web.xml 파일.