Configuração de Conexão Segura (SSL)

De Qknow
Ir para: navegação, pesquisa

Introdução

Uma conexão segura com o QlikView Server sobre plataforma Windows Server envolve três atividades. Primeiro, é necessário que o sistema operacional crie um certificado digital a ser usado no QlikView. Esta ação é realizada por meio do PowerSheel com privilégios administrativos. Segundo, é a geração de uma chave que será importada posteriormente no QlikView Server. Por último, a importação e aplicação das configurações necessárias no Managment Console para uso do protocolo HTTPS. A partir da execução destas tarefas o QlikView Server utilizará o protocolo HTTPS (onde S representa uma conexão segura) com troca de chaves públicas/privadas que garantam a autenticação do usuário. Tipicamente, painéis publicados em QlikView são para uso interno da corporação, mas eventualmente podem ser acessados pelo mesmo público através da Internet. Neste caso, pode ser um requisito do cliente garantir que o tráfego entre a origem e o destino estejam seguros.

Criação do Certificado

A criação do certificado na plataforma Windows Server 2008R2 é realizada por meio da execução de instruções que podem ser encontradas no arquivo makecert.ps1. A execução do script deve ocorrer sob o powershell do sistema operacional com privilégios administrativos, de acordo com os seguintes passos que devem ser executados no servidor Web onde o QlikView responderá pelo acesso HTTPS.

1. Execute o PowerShell do Windows Server em modo administrativo. O utilitário está disponível a partir do botão Start >> Accessories >> Windows PowerShell.

PowerShell.PNG

  Nota: Ao selecionar o atalho do PowerShell com o botão da direita do mouse, escolha Run as Administrator, respondendo Yes para a confirmação 
        de execução em modo administrativo.

2. Execute o comando Get-ExecutionPolicy para tomar nota das configurações de políticas do PowerShell para que possa ser restaurada após os procedimentos de geração da chave SSL.

PS C:\Windows\system32> Get-ExecutionPolicy

Restricted

PS C:\Windows\system32>

3. Caso o retorno da instrução seja Restricted, altere o nível de política do PowerShell conforme exemplo do comando Set a seguir, respondendo Y para confirmar a alteração. Se o nível de segurança apresentado no item anterior for RemoteSigned, nenhuma modificação é necessária e o passo seguinte pode ser executado.

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned

Execution Policy Change

  The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose you to the security risks described in the
  about_Execution_Policies help topic. Do you want to change the execution policy?

[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y

PS C:\Windows\system32>

4. Crie uma pasta em local apropriado (preferencialmente discos locais) e copie o arquivo makecert.ps1 para o folder criado. Certifique-se de que o caminho não possui espaços em branco para evitar mensagens de erro durante a execução do script. No Powersheel, entre com o caminho do arquivo e pressione Enter.

PS C:\Windows\system32> C:\SSLScript\makecert.ps1

 WARNING: This script sample is provided AS-IS with no warranties and confers no rights. This script sample will generate self-signed certificates
 with private key  in the Local Computer Personal certificate store.
  Nota: Para maiores informações sobre o arquivo makecert.ps1 consulte o site do Technet na Internet.

5. Caso o certificado gerado seja para uso do próprio servidor onde está sendo gerado, responda N para a pergunta sobre o subject, mantendo o nome do servidor inalterado. Doutra forma, responda Y e entre com o nome do servidor onde será instalado o certificado.

Would you like to change subject from WIN-S6IG6DG6EIN. Y/[N]: N

Would you like to install this certificate to Trusted Root Certification Authorities? [Y]/N: N

Completed

6. Uma vez gerada a chave é importante retornar o PowerShell ao nível de política de permissões originais, caso estas tenham sido alteradas. Para isso, basta executar a instrução Set novamente, passando como parâmetro o nível original (possivelmente Restricted) e respondendo Y.

PS C:\Windows\system32> Set-ExecutionPolicy Restricted

 Execution Policy Change
 The execution policy helps protect you from scripts that you do not trust. Changing the execution policy might expose you to the security risks described in the
 about_Execution_Policies help topic. Do you want to change the execution policy?

[Y] Yes [N] No [S] Suspend [?] Help (default is "Y"): Y

Criação da Chave

1. Com o certificado gerado, é necessário abrir o MMC em modo privilegiado (administrativo). Em seguida, deve ser adicionado o Snap-in de certificados digitais. Para isso, a partir do botão iniciar digite as letras mmc e observe que o Windows selecionará o executável correspondente. Neste momento, com um clique com o botão da direita, execute o mmc em modo administrativo, tal como na ilustração a seguir.

MMC.PNG

2. Quando o aplicativo do mmc do Windows Server for aberto, no menu Arquivo selecione </code>Adicionar/Remover Snap-In</code>. Uma janela semelhante a seguinte será exibida e nesta deve ser selecionado o Snap-In de certificados digitais (Certificates).

incluir imagem do mmc aqui

3. Ao abrir o Snap-in de Certificates é possível localizar o certificado gerado sob a pasta Personal / Certificates. Com um duplo clique sobre o certificado, as propriedades são exibidas tal como na figura seguinte. Na guia (aba) Details são apresentadas as listas de propriedades do certificado, sendo necessário selecionar Thumbprint que apresenta o código hexa-decimal do certificado.

Certificates.PNG

4. Copie e cole no bloco de notas (notepad) do Windows o conteúdo apresentado para o Thumbprint. Com o recurso de Substituir (Replace) do bloco de notas, troque todos os espaços em branco por vazio.

Antes

9c 5f a8 71 28 cf d3 4b 31 18 9a d6 3d 4a 58 51 ef ae 86

Depois

a49c5fa87128cfd34b31189ad63d4a5851efae86

5. Faça o download da ferramenta de geração de chaves únicas para o Registry do sistema operacinal (Guidgen.exe) a partir do site da Microsoft. Execute o programa guidgen.exe e gere uma chave única acionando o botão New GUID. Certifique-se de ter assinalado a opção Registry Format. Use o botão Copy para levar o conteúdo para a área de transferência do Windows.

6. Inicie o prompt de comando do Windows (utilitário cmd). Note que não se trata da interface do PowerShell. O prompt deve ser iniciado com privilégios administrativos, da mesma forma que as demais ferramentas utilizadas até esse passo.

7. No prompt de comando, utilize a instrução netsh para ligar o protocolo HTTP ao certificado gerado, utilizando o código hash (Thumbprint) sem espaços e a chave de Registry (área de transferência), respectivamente, nos parâmetros certhash e appid, conforme exemplo a seguir.

C:\>netsh http add sslcert ipport=0.0.0.0:443 certhash= a49c5fa87128cfd34b31189ad63d4a5851efae86 appid={6F633A39-87B2-451c-B38A-12A7A1417E1F}


CmdPrompt.PNG

  Nota: Não substitua os valores de ipport com o número IP do servidor

Configuração do QlikView Server

1. Com um usuário com privilégios administrativos no QlikView, abra o Management Console e acesse System → Setup → QlikView Web Server → General. Entre com o número da porta TCP 443 no espaço Port e assinale a opção Use HTTPS.

2. Acione o botão Apply no final da interface do Management Console e reinicie o serviço Web do QlikView no Server Manager do sistema operacional Windows. Em seguida, acesse o endereço local do Access Point com um browser compatível com HTML 5 por meio do protocolo HTTPS, tal como no seguinte exemplo:

  https://endereço/qlikview
  Nota: A partir desta configuração somente conexões com o protocolo HTTPS serão permitidas. 


Envelope01.jpg
Procurando Algo? Fale Conosco!

Voltar | Página Principal