8: Administering Web Tier Deployments
191
RSA Authentication Manager 8.1 Administrator’s Guide
Generate a Certificate Signing Request (CSR) for the Web Tier
Before you can send a certificate signing request to a CA, you must generate the 
certificate signing request file in Authentication Manager. Authentication Manager 
generates the private key and certificate signing request.
Before You Begin
• You must be an Operations Console Administrator
• The virtual host must be defined
Procedure
1. In the Operations Console, go to Deployment Configuration > Certificates > 
Virtual Host Certificate Management, and click Generate CSR.
2. On the Generate Virtual Host Certificate Signing Request page, do the following:
• Confirm the Virtual Host name.
• Enter an Alias.
• (Optional) Enter a Country name
• (Optional) Enter a State or Province name.
• (Optional) Enter a City or Locality name.
• (Optional) Enter an Organization name.
• (Optional) Enter an Organizational Unit name.
• (Optional) Enter an E-mail Address
3. Click Generate File.
4. On the Download File page, click Download.
5. Save the certificate request file to your local machine.
Next Steps
• Send the certificate request file to the CA for signing and save the signed 
certificate request file on your local machine.
• Import the trusted root and signed certificates to the virtual host and activate them. 
For instructions, see Import a Signed Virtual Host Certificate
.
Import a Signed Virtual Host Certificate
After you download all of the certificate files in the signing chain from your certificate 
authority (CA), you must import the files to replace the existing virtual host certificate 
with the new certificate.
Before You Begin
• You must be an Operations Console Administrator.
• Download the CA root certificate, all other certificates that are part of the signing 
chain, and the new virtual host certificate.
Pdf to powerpoint converter - Library SDK class:C# Create PDF from PowerPoint Library to convert pptx, ppt to PDF in C#.net, ASP.NET MVC, WinForms, WPF
Online C# Tutorial for Creating PDF from Microsoft PowerPoint Presentation
www.rasteredge.com
Pdf to powerpoint converter - Library SDK class:VB.NET Create PDF from PowerPoint Library to convert pptx, ppt to PDF in vb.net, ASP.NET MVC, WinForms, WPF
VB.NET Tutorial for Export PDF file from Microsoft Office PowerPoint
www.rasteredge.com
192
8: Administering Web Tier Deployments
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Operations Console, click Deployment Configuration > Certificates > 
Virtual Host Certificate Management.
Beginning with the root certificate, perform the following steps for each 
certificate in the signing chain.
2. In the Virtual Host Certificate Management page, click Import Certificates.
3. In the Import Certificate page under Certificate Basics, do one of the following:
For a certificate made in response to a CSR from the Operations Console:
• In the Import Certificate field, browse to the location where the certificate is 
stored. This file contains either a CA root certificate or the SSL certificate 
from the CA. 
• For Type of Certificate to Import, select PKCS#7 (*.cer or *.p7b).
For a certificate made in response to a CSR from a certificate tool of your choice:
• In the Import Certificate field, browse to the location where the certificate is 
stored. This file contains one or more certificates and the private key for the 
new certificate.
• For Type of Certificate to Import, select PKCS#12 (*.pfx or*.p12). 
• In the Password field, enter the password for the PKCS#12 file.
4. Click Import.
Next Steps
Activate a Virtual Host Certificate
on page 192
Activate a Virtual Host Certificate
Before the virtual host can use a new certificate, you must activate the certificate. 
You can only activate a virtual host certificate that has a common name (CN) where 
the value is the fully qualified hostname (FQHN) of the virtual host.
Before You Begin
• You must be an Operations Console Administrator.
• Import a Signed Virtual Host Certificate
that you want to activate.
Procedure
1. In the Operations Console, click Deployment Configuration > Certificates > 
Virtual Host Certificate Management.
2. In the Virtual Host Certificate Management page, under Alias, click the name of 
the new certificate.
3. Click Activate.
4. On the Activate Certificate Confirmation page, review the details, and select Yes, 
make this the active default certificate. 
5. Click Activate Certificate.
Library SDK class:C#: How to Use SDK to Convert Document and Image Using XDoc.
You may use our converter SDK to easily convert PDF, Word, Excel, PowerPoint, Tiff, and Dicom files to raster images like Jpeg, Png, Bmp and Gif.
www.rasteredge.com
Library SDK class:C# PDF Convert: How to Convert MS PPT to Adobe PDF Document
Microsoft PowerPoint to PDF. |. Home ›› XDoc.Converter ›› C# Converter: PowerPoint to PDF. You maybe interested: PDF in C#,
www.rasteredge.com
8: Administering Web Tier Deployments
193
RSA Authentication Manager 8.1 Administrator’s Guide
Next Steps
Update the web tier. For instructions, see Update the Web-Tier
on page 186.
Logout Error on the Self-Service Console in the Web Tier
If the web-tier server is more than 15 minutes out-of-sync with the associated 
instance, the user may see the following error when attempting to log out of the 
Self-Service Console:
“Error: Internal Server Error. The server encountered an unexpected condition, which 
prevented it from fulfilling your request.”
The system log states the following: 
“Caused by: com.rsa. common.SystemException: Logout request exceeds the 
configured time window. The web tier time is not in sync with the biz-tier or a 
possible replay.” 
The possible cause is a logout request that is outside of the allowable time window. To 
resolve this issue, do one of the following:
• If the deployment does not have a Network Time Protocol (NTP) server, 
synchronize the web-tier server time to the associated instance.
• If the deployment has an NTP server, synchronize the web-tier server to the NTP 
server.
The time zones do not need to be the same. For example, the web-tier server time can 
be 7:00 am (GMT), and the associated instance time can be 9:00 am (GMT + 2).
Library SDK class:XDoc.Converter for .NET, Support Documents and Images Conversion
file converter SDK supports various commonly used document and image file formats, including Microsoft Office (2003 and 2007) Word, Excel, PowerPoint, PDF, Tiff
www.rasteredge.com
Library SDK class:Online Convert PowerPoint to PDF file. Best free online export
Online Powerpoint to PDF Converter. Download Free Trial. Convert a PPTX/PPT File to PDF. Just upload your file by clicking on the blue
www.rasteredge.com
Library SDK class:RasterEdge XDoc.PowerPoint for .NET - SDK for PowerPoint Document
Able to view and edit PowerPoint rapidly. Convert. Convert PowerPoint to PDF. Convert PowerPoint to HTML5. Convert PowerPoint to Tiff. Convert PowerPoint to Jpeg
www.rasteredge.com
Library SDK class:C# WinForms Viewer: Load, View, Convert, Annotate and Edit
View PDF in WPF; C#.NET: View Word in WPF; C#.NET: View Excel in WPF; C#.NET: View PowerPoint in WPF; C#.NET: View Tiff in WPF. XDoc.Converter for C#; XDoc.PDF
www.rasteredge.com
9: Deploying and Administering RSA SecurID Tokens
195
RSA Authentication Manager 8.1 Administrator’s Guide
9
Deploying and Administering RSA SecurID 
Tokens
RSA SecurID Tokens
RSA SecurID tokens offer RSA SecurID two-factor authentication. An RSA SecurID 
token generates a 6-digit or 8-digit pseudorandom number, or tokencode, at regular 
intervals. When the tokencode is combined with a personal identification number 
(PIN), the result is called a passcode. Users enter passcode values, along with other 
security information, to verify their identity to resources protected by Authentication 
Manager. If Authentication Manager validates the passcode, the user is granted access. 
Otherwise, the user is denied access. 
There are two kinds of SecurID tokens, hardware tokens and software tokens. 
Hardware tokens generate tokencodes using a built-in clock and the token’s 
factory-encoded random key, known as the “seed.” Hardware tokens come in several 
models, such as key fobs and PINPads. Software tokens consist of two components 
that are installed separately, an application specific to the intended device platform 
and a token seed record. Software token applications generate tokencodes on the 
device and offer the same passcode functionality as hardware tokens. Devices include 
smart phones, computers, and tablets. 
Hardware and software tokens require similar administrative tasks. Following 
deployment, you can perform many token-related administrative tasks with the User 
Dashboard in the Security Console. For more information, see the Security Console 
Help topic “User Dashboard.”
By default, RSA provides tokens that require a PIN and strongly recommends that you 
use PINs for all tokens. PINs provide the second factor in RSA SecurID two-factor 
authentication. RSA Authentication Manager also supports authentication with tokens 
that do not require an RSA SecurID PIN. 
Deploying RSA SecurID Tokens
The following steps outline the tasks required to deploy RSA SecurID tokens.
Procedure
1. Import a Token Record File
on page 196. 
2. (Optional) Move a Token Record to a New Security Domain
on page 197.
3. Assign Tokens to Users
on page 197.
4. For software tokens, Add a Software Token Profile
on page 200. Otherwise 
continue to step 5.
Library SDK class:C# powerpoint - Convert PowerPoint to PDF in C#.NET
RasterEdge Visual C# .NET PowerPoint to PDF converter library control (XDoc.PowerPoint) is a mature and effective PowerPoint document converting utility.
www.rasteredge.com
Library SDK class:VB.NET PDF Converter Library SDK to convert PDF to other file
editing if they integrate this VB.NET PDF converter control with for converting MicroSoft Office Word, Excel and PowerPoint document to PDF file in VB
www.rasteredge.com
196
9: Deploying and Administering RSA SecurID Tokens
RSA Authentication Manager 8.1 Administrator’s Guide
5. Distribute the token. Choose one of the following:
• Distribute a Hardware Token
on page 203
• Distribute Multiple Software Tokens Using File-Based Provisioning
on 
page 203
• Distribute One Software Token Using File-Based Provisioning
on page 204
• Distribute Multiple Software Tokens Using Dynamic Seed Provisioning 
(CT-KIP)
on page 205
• Distribute One Software Token Using Dynamic Seed Provisioning
on 
page 208
• Distribute Multiple Software Tokens Using Compressed Token Format (CTF)
on page 210
• Distribute One Software Token Using Compressed Token Format (CTF)
on 
page 211
Import a Token Record File
RSA manufacturing provides an XML file that contains the token records that your 
organization has purchased. Before you can work with individual token records, you 
must import the token record XML file into Authentication Manager.
For hardware tokens, each token record in the file corresponds to a hardware token 
that your organization has purchased.
For software tokens, token record data will eventually be transferred into a software 
token application. Each token record contains the token seed and metadata such as the 
token serial number, expiration date, and the tokencode length and interval. 
Before You Begin
• Decide which security domain will own the imported tokens. The security domain 
must be in the administrative scope of the administrator who will deploy and 
manage the tokens.
• Your administrative role must permit you to manage tokens.
Procedure
1. In the Security Console, click Authentication > SecurID Tokens > Import 
Tokens Job > Add New.
2. Enter a name for the import job. The job is saved with this name so that you can 
review the details of the job later. The name must be from 1 to 128 characters. The 
characters & % > < are not allowed.
3. From the Security Domain drop-down menu, select the security domain into 
which you want to import the tokens. The tokens are managed by administrators 
whose scope includes this security domain. By default, tokens are imported into 
the top-level security domain.
4. Browse to select the token files that you want to import.
5. In the File Password field, enter a password if the file is password protected.
9: Deploying and Administering RSA SecurID Tokens
197
RSA Authentication Manager 8.1 Administrator’s Guide
6. Use the Import Options radio buttons to specify handling for duplicate tokens.
7. Click Submit Job.
Next Steps
• Assign tokens to users. For more information, see Assign Tokens to Users
on 
page 197.
Move a Token Record to a New Security Domain
You can select a new security domain to move token records. If you do not select a 
security domain, the token records are imported into the top-level security domain by 
default. You can move token records between security domains within a deployment 
using the Security Console. You can also change an administrator’s scope to manage 
token records, or you can move the records to a security domain that is associated with 
the location where the tokens will be used.
Procedure
1. In the Security Console, click Authentication > SecurID Tokens > Manage 
Existing.
2. Use the search fields to find the tokens that you want to move.
3. Select the checkboxes next to the tokens that you want to move.
4. From the Action menu, click Move to Security Domain.
5. Click Go.
6. From the Move to Security Domain drop-down list, select the security domain to 
which you want to move the tokens.
7. Click Move.
Assign Tokens to Users
Assigning a token associates the token with a specific user. You must assign a token to 
a user before the user can authenticate. You can assign a maximum of three tokens to 
each user. RSA recommends that you do not assign more than one hardware token to a 
user as this may increase the likelihood that users will report a lost or stolen token. 
Some software token applications may not allow multiple tokens. For 
platform-specific information on token limitations, see the RSA SecurID software 
token documentation.
You can also assign tokens with the User Dashboard. For instructions, see the Security 
Console Help topic “User Dashboard.”
Before You Begin
• Import the token records from the token record file to the internal database. For 
more information, see Import a Token Record File
on page 196.
• Make sure a user record exists in Authentication Manager for each user to whom 
you want to assign a token.
198
9: Deploying and Administering RSA SecurID Tokens
RSA Authentication Manager 8.1 Administrator’s Guide
Procedure
1. In the Security Console, click Identity > Users > Manage Existing.
2. Use the search fields to find the users to whom you want to assign tokens. 
3. From the search results, click the user(s) to whom you want to assign tokens.
4. From the context menu, under SecurID Tokens, click Assign More.
5. From the list of available RSA SecurID tokens on the Assign to Users page, select 
the checkboxes for the tokens that you want to assign. Record which tokens you 
assign so you can deliver them later.
6. Click Assign.
Next Steps
Add a Software Token Profile
Software Token Profiles
Software token profiles specify software token configurations and distribution 
processes. A software token profile is required for each platform for which you plan to 
distribute software tokens. Only a Super Admin can add software token profiles to the 
deployment. Software token profiles are available to the entire deployment and are not 
specific to a security domain.
Device Definition File
A device definition file is an XML file that defines the capabilities and attributes of 
software tokens used on a specific platform, for example, the Android platform or the 
iOS platform. The file identifies the supported tokencode characteristics, the token 
type, whether the token is CT-KIP capable or QR Code-capable, CT-KIP link format, 
whether the token is CTF-capable, and the supported binding attributes.
When RSA releases applications for new software token types, the applications often 
require new device definition files. You must import the new device definition file 
when you create a software token profile using the new token type. To determine 
whether you need to import a new device definition file, see the Administrator's Guide 
for your software token application.
Software Token Configuration
RSA SecurID software tokens are factory-set as PINPad PIN type (PIN integrated 
with tokencode), 8-digit tokencode length, and 60-second tokencode interval. 
However, you can configure the tokencode interval, PIN type, and tokencode length of 
software tokens for each software token profile that you create. Depending on 
configuration options set in the device definition file, you can set the tokencode length 
to 6 or 8 digits and the tokencode interval to 30 or 60 seconds. You can change the PIN 
type so that the token behaves like a hardware fob. You can also reconfigure the token 
to be tokencode only.
9: Deploying and Administering RSA SecurID Tokens
199
RSA Authentication Manager 8.1 Administrator’s Guide
Software Token Delivery Methods
The following methods are available for providing token data to a software token 
application:
Dynamic Seed Provisioning (CT-KIP). The dynamic seed provisioning method 
uses the four-pass Cryptographic Token Key Initialization Protocol (CT-KIP) to 
exchange information between an RSA SecurID client application running on a 
mobile device, desktop, or desktop, and the CT-KIP server, which is a component 
of the Authentication Manager server. Information exchanged between the client 
and server generates a unique shared secret (token seed). This information is 
encrypted during transmission using a public-private key pair. The generated 
token seed value is never transmitted across the network.
The four-pass CT-KIP protocol is initiated by a request from the client application 
to the CT-KIP server when the user selects an import token option on the client 
device. The client application must be provided with the activation code, either 
through manual user entry, or as part of a URL string. 
Dynamic seed provisioning uses a unique, one-time provisioning activation code 
to ensure that the request is legitimate. There are two ways to deliver software 
tokens using CT-KIP: 
• Send the user an email containing the CT-KIP URL and activation code. 
Clicking the link imports and activates the token.
• Provide the user with a QR Code that encapsulates the CT-KIP URL and 
activation code. Scanning the QR Code in the Self-Service Console imports 
and activates the token.
If you configured activation codes to expire, a user must provide the activation 
code to the client application before the code expires. If the activation code is not 
used before the expiration time, you must redistribute the token, and provide the 
CT-KIP URL and the new activation code to the user.
Dynamic seed provisioning is preferred over file-based provisioning because the 
four-pass protocol prevents the potential interception of the token's seed during 
the provisioning process. 
File-Based Provisioning. With file-based provisioning, Authentication Manager 
generates token data contained within a file, which is added to a ZIP file for 
download. Software token files provisioned using this method have the extension 
.sdtid. The data in the token file includes the seed used by the SecurID algorithm 
and other metadata, including the token serial number, expiration date, number of 
digits in the tokencode, and so on. To protect the seed against attack, the seed is 
encrypted using the AES encryption algorithm and an optional password that you 
can assign during the configuration process. RSA recommends protecting 
file-based tokens with a strong password that conforms to guidelines provided in 
the RSA Authentication Manager 8.1 Security Configuration Guide.
200
9: Deploying and Administering RSA SecurID Tokens
RSA Authentication Manager 8.1 Administrator’s Guide
Compressed Token Format (CTF) Provisioning. E-mail programs on some 
mobile device platforms cannot interpret .sdtid file attachments. In such cases, 
you can deliver file-based tokens using Compressed Token Format (CTF). 
Authentication Manager generates token data in the form of a CTF URL string, 
which you deliver to the user's device by e-mail as a URL link. CTF URL strings 
contain the encoded token data needed by the software token application. This 
encoded data includes the seed used by the SecurID algorithm and other metadata, 
including the token serial number, expiration date, number of digits in the 
tokencode, and so on. The URL format signals the device that the URL link 
contains data relevant to the software token application. RSA recommends 
protecting CTF format tokens with a strong password that conforms to guidelines 
provided in the RSA Authentication Manager 8.1 Security Configuration Guide.
Device Attributes
Device attributes are used to add information to software tokens. You can use the 
DeviceSerialNumber field to restrict the installation of a token to a device platform 
or to a specific device. The default DeviceSerialNumber value associated with the 
device type binds the token to a specific platform. Binding to a device platform allows 
the user to install the token on any device that runs on that platform, for example, any 
supported Android device. The user cannot install the token on a different platform, 
such as Apple iOS.
For additional security, you can bind a token to a single, device-specific identification 
number, for example, a separate, unique device ID assigned by the RSA SecurID 
software token application. In this case, the token can only be installed on the device 
that has the device-specific ID. If a user attempts to import the token to any other 
device, the import fails. You must bind tokens before you distribute them. In some 
cases, you must obtain the device binding information from the user. The user must 
install the software application before providing the binding information. For more 
information, see your RSA SecurID software token documentation.
The Nickname field allows you to assign a user-friendly name to the token. When the 
token is installed into the application on the device, the application displays the token 
nickname. If you do not assign a nickname, the application displays a default name, 
for example, the token serial number. Not all software token applications support 
nicknames.
Add a Software Token Profile
Software token profiles specify software token configuration and distribution options. 
You must configure a software token profile for each platform to which you plan to 
distribute software tokens.
Before You Begin
You must be a Super Admin.
Procedure
1. In the Security Console, click Authentication > Software Token Profiles > Add 
New.
2. Enter the Profile Name. Try to include the device type or distribution method in 
the profile name. For example, “Android_CT_KIP.”
Documents you may be interested
Documents you may be interested