Certificados OBB Plus Bradesco

Introdução:

O objetivo deste post é demonstrar como instalar os certificados gerados pelo sistema nas estações e também a gerar novos certificados devido a erros de instalação ou troca de servidor. De maneira alguma entrarei em discussão sobre o sofware do banco ou sua segurança.

Recomendações :

O Serviço do OBBPlus pode ser instalado em um servidor virtual rodando o Server 2003 Std . Em produção um servidor virtual dedicado com 1GB de memória e 2 cores disponiveis suportam 15 usuários simultâneos .
Acrescente memória adicional para cada conjunto de 10 usuários e teste a performance. Não é necessário a instalação de nenhum aplicativo adicional do Windows Server. Ao instalar rode o serviço de banco de dados como serviço e não como aplicativo.

Conhecimento básico:

Certificados , DNS , Serviços de publicação Tom Cat

Ambiente :

Instalação do OBB feita em uma estação cliente. Erro de certificado no Internet Explorer .
Troca de certificado do servidor.

Procedimentos:

Quando temos uma instalação de serviços de servidor em uma estação criamos alguns problemas, como a necessidade de manter a estação ligada , problemas com nome ou IP na referencia do certificado , etc.

Se a intenção é manter a instalação na estação , configure ela para que tenha IP fixo ou que o servidor DHCP registre o nome da estação no DNS .

Para que o servidor DHCP registre o nome das estações verifique se a configuração esta correta.

  1. Abra o gerenciador do DHCP
  2. Expanda o nome do servidor e em seguida click com o botão direito em IPV4 e propriedades.
  3. Click a aba DNS e verifique se as checkbox abaixo estão selecionadas.

Com isso você garante que sua estações sejam reconhecidas pelo nome não importando seu IP.

Agora abra seu navegador e acesse os serviços do OBB. Lembre-se que o acesso deve ser feito pelo mesmo endereço criado na instalação do OBB. Por exemplo:

Se ao instalar o OBB foi criado um certificado para o computador de nome ESTACAO01 , o acesso deve ser feito por : https://ESTACAO01 ( se usou o IP na instalação , tambem use no acesso )

O erro de certificado será mostrado , clique para continuar o acesso.
Siga os passos para tornar o certificado valido.

1- Acesse o sistema, ele retornará o erro de certificado não confiavel.

2- Clique no aviso de certificado e logo após em exibir certificado.

3- Clique em instalar certificado

4- Ao abrir o assistente clique em avançar e logo após escolha manualmente o local do repositório do certificado. Clique em procurar.

5- Selecione “Autoridades de raiz confiável ” e OK

6- Clique em avançar , logo após abrirá um aviso de segurança , confirme e terá o aviso de importação com sucesso.

7- Após a importação reinicie o Internet Explorer e acesse o sistema.
Se o nome do servidor estiver correto você não receberá mais a advertência e o internet explorer retornará :

Dependendo de suas configurações de segurança você terá que adicionar o site do sistema na lista de sites confiaveis do Internet Explorer. Caso você use o Mozila Firefox para acessar o sistema , instale tambem o certificado pelo IE e depois acesse pelo Firefox e adicione a exceção de acesso.

Ajustando Certificados em caso de troca de servidor ou apontamento errado do certificado.

Esta sem dúvida é a parte mais importante. ANTES DE INICIAR A FAZE-LA FAÇA UM BACKUP COMPLETO DA MAQUINA E TAMBEM UM BACKUP PELO PROPRIO SISTEMA DO OBB.

Os caminhos padrão para rodar os programas necessários seguem abaixo:

:/obbplus/aplicacao/infra/tomcat/conf
arquivo server.xml -> usado na configuração do servidor.

:/obbplus/java/jre/bin
keytool.exe -> usaremos este aplicativo para gerenciar os certificados.

Vamos lá. Crie uma pasta chamada CERTIFICADO .
Abra o Prompt de Comando e gere um novo Keystore com alias certificado e preencha com os dados da empresa , não esqueça de definir a senha do keystore.

O keystore é o local aonde ficará armazenado os certificados do TOMCAT.

Copie os certificados raiz de seu CA dentro da pasta certificado.

O comando para gerar o keystore e certificado. Lembre-se de estar na mesma pasta do aplicativo keytool.
——-
keytool -genkey -alias certificado -keyalg RSA -keystore C:\Certificado\Keystore\definaonome.kdb -valitidy 3650

Preenchimento dos dados
———————–
What is your first and last name?
[Unknown]: http://www.dominio.com.br
What is the name of your organizational unit?
[Global Sign]: Razão da Empresa
What is the name of your organization?
[Global Sign]: Razão da Empresa
What is the name of your City or Locality?
[London]: Cidade
What is the name of your State or Province?
[London]: Estado
What is the two-letter country code for this unit?
[GB]: País

Ele vai pedir para você gerar uma nova senha e confirma-la. Guarde-a para usa-la daqui a pouco.

Agora vamos importar o certificado root e principal do CA ( caso você esteja logado em um dominio , caso contrario pode ignorar esta parte).
——
keytool -import -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias Root -trustcacerts -file C:\Certificado\Certificadora\root.cer

keytool -import -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias Primary -trustcacerts -file C:\Certificado\Certificadora\root.cer

Para verificar os certificados:

keytool -list -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -v > C:\Certificado\list.txt
Agora vamos ajustar arquivo server.xml .
Abra o arquivo com o bloco de notas e encontre a linha que define o caminho do keystore , altere para o novo caminho que voce criou . Não esqueça de alterar a senha tambem.

Lembrete: Antes de alterar o arquivo server.xml faça uma copia dele e pare os serviços do OBB. Ao editar o server.xml você vai reparar que o keystore padrão não possui extensão e a senha está criptografada. Após o ajuste o seu keystore terá extenção e sua senha estará aberta.

Inicie o serviço e teste o sistema.Cheque os certificados e instale o novo certificado nas estações .

Conclusão:

Este ajuste é indicado para parar com os erros repetitivos do IE. Estes erros não afetam o uso do sistema . A central do Bradesco não da suporte a este nivel de ajuste.

About these ads

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

%d blogueiros gostam disto: