Leo Yeh's Blog

SAS 資訊安全 (14)

教學目標

初步了解如何透過 IIS 伺服器產生伺服器憑證檔 (.pfx) 在安裝與設定 SAS 平台時使用安全通訊的 HTTP 通訊協定。

重點概念

首先許多企業皆以 IIS 伺服器產生伺服器憑證檔 (.pfx),此時我們若要在安裝與設定 SAS 平台時設定 SAS Web Server 的通訊協定為使用安全通訊的 HTTP 通訊協定,則必須先將伺服器憑證檔 (.pfx) 透過下述指令轉成私密金鑰檔 (.key) 和伺服器憑證檔 (.pem)。

1
2
3
# openssl pkcs12  -in  iis_ssl.pfx -nodes -out server.pem
# openssl rsa -in server.pem -out server.key
# openssl x509 -in server.pem -out server.crt

接著建議先將根憑證檔、中繼憑證檔和伺服器憑證檔,依照由上至下的順序匯入至 SAS 的 Java 金鑰儲存區中,此時我們可能只會有伺服器憑證檔,則要如何透過伺服器憑證檔取得根憑證檔和中繼憑證檔呢?其實僅需先安裝伺服器憑證檔之後,再透過憑證匯出精靈的功能匯出「Base-64 編碼的 X.509 (.CER)」格式的檔案。

再來透過「SAS Deployment Manager 工具」依照由上至下的順序匯入至 SAS 的 Java 金鑰儲存區中,主要是選取「管理受信任燜證授權套件組合」中的「將憑證增加到受信任憑證授權套件組合」的工作進行憑證檔的匯入,請注意若是我們沒有按照根憑證檔->中繼憑證檔->伺服器憑證檔順序進行匯入就會發生「驗證憑證路徑失敗」的錯誤訊息。

最後當我們匯入憑證檔至 SAS 的 Java 金鑰儲存區中時,就能夠在「SAS 部署精靈」中指定憑證和私密金鑰的路徑,分別為「指定指向此電腦的 X.509 憑證路徑和一名稱」指定伺服器憑證檔的路徑,以及「指定指向 RSA 私密金鑰不受複雜密碼保護的路徑」指定私密金鑰的路徑。

相關資源

⬅️ Go back