教學目標

初步了解如何透過 IIS 伺服器產生伺服器憑證檔 (.pfx) 在安裝與設定 SAS 平台時使用安全通訊的 HTTP 通訊協定。

重點概念

首先許多企業皆以 IIS 伺服器產生伺服器憑證檔 (.pfx),此時我們若要在安裝與設定 SAS 平台時設定 SAS Web Server 的通訊協定為使用安全通訊的 HTTP 通訊協定,則必須先將伺服器憑證檔 (.pfx) 透過下述指令轉成私密金鑰檔 (.key) 和伺服器憑證檔 (.pem)。

1
2
3
# openssl pkcs12  -in  iis_ssl.pfx -nodes -out server.pem
# openssl rsa -in server.pem -out server.key
# openssl x509 -in server.pem -out server.crt

接著建議先將根憑證檔、中繼憑證檔和伺服器憑證檔,依照由上至下的順序匯入至 SAS 的 Java 金鑰儲存區中,此時我們可能只會有伺服器憑證檔,則要如何透過伺服器憑證檔取得根憑證檔和中繼憑證檔呢?其實僅需先安裝伺服器憑證檔之後,再透過憑證匯出精靈的功能匯出「Base-64 編碼的 X.509 (.CER)」格式的檔案。

再來透過「SAS Deployment Manager 工具」依照由上至下的順序匯入至 SAS 的 Java 金鑰儲存區中,主要是選取「管理受信任燜證授權套件組合」中的「將憑證增加到受信任憑證授權套件組合」的工作進行憑證檔的匯入,請注意若是我們沒有按照根憑證檔->中繼憑證檔->伺服器憑證檔順序進行匯入就會發生「驗證憑證路徑失敗」的錯誤訊息。

最後當我們匯入憑證檔至 SAS 的 Java 金鑰儲存區中時,就能夠在「SAS 部署精靈」中指定憑證和私密金鑰的路徑,分別為「指定指向此電腦的 X.509 憑證路徑和一名稱」指定伺服器憑證檔的路徑,以及「指定指向 RSA 私密金鑰不受複雜密碼保護的路徑」指定私密金鑰的路徑。

相關資源