Damit die Authentifizierung gewährleistet ist, müssen Access Manager und OSP die Herkunftsverbürgung ihrer SSL-Zertifikate freigeben. In diesem Abschnitt wird beschrieben, wie Sie ein neues Zertifikat für Access Manager erstellen und dann dafür sorgen, dass den Truststores die richtigen Zertifikate zur Verfügung stehen.
Access Manager kann nicht über das eigene standardmäßige SSL-Zertifikat (test-connector) mit Identity Manager kommunizieren. Sie müssen stattdessen ein Zertifikat erstellen, bei dem der Hostname im Betreff-Feld eingetragen ist, und dieses Zertifikat dann zu Access Manager zuweisen.
Weitere Informationen finden Sie unter „Security and Certificate Management“ (Sicherheit und Zertifikatsverwaltung) im NetIQ Access Manager Administration Console Guide (Handbuch zur NetIQ Access Manager-Verwaltungskonsole).
Öffnen Sie die Verwaltungskonsole in Access Manager.
Klicken Sie auf Sicherheit > Zertifikate.
Klicken Sie auf Neu.
Geben Sie einen Namen für das neue Zertifikat an. Beispiel: hostname_ssl.
Klicken Sie rechts im Fenster auf die Schaltfläche „Bearbeiten“.
Geben Sie unter Eigenname den DNS-Namen des Servers an, auf dem Access Manager gehostet wird, und klicken Sie auf OK.
Geben Sie unter Gültigkeit (Monate) einen Wert bis 99 ein.
Geben Sie unter Schlüsselgröße den Wert 2048 ein.
Wählen Sie das soeben erstellte Zertifikat aus, und klicken Sie auf Aktionen > Zertifikat zu Keystores hinzufügen.
Klicken Sie rechts neben Keystores auf die Schaltfläche „Bearbeiten“.
Wählen Sie SSL-Connector, und klicken Sie auf OK.
Klicken Sie auf OK.
Installieren Sie das neue Zertifikat im OSP-Truststore. Weitere Informationen finden Sie in Abschnitt 18.2.2, Installieren des Access Manager-Zertifikats im Identity Manager-Truststore.
Der OSP-Truststore muss das Sicherheitszertifikat für Access Manager umfassen.
Exportieren Sie das neue SSL-Zertifikat mit den folgenden Schritten:
Exportieren Sie unter Sicherheit > Herkunftsverbürgungen in der Verwaltungskonsole von Access Manager das Stammzertifikat des SSL-Zertifikats. Geben Sie den Namen configCA für das Stammzertifikat ein.
Exportieren Sie das SSL-Serverzertifikat.
Weitere Informationen finden Sie unter „Managing Trusted Roots and Trust Stores“ (Verwalten von Herkunftsverbürgungen und Truststores) im NetIQ Access Manager Administration Console Guide (Handbuch zur NetIQ Access Manager-Verwaltungskonsole).
Kopieren Sie das exportierte Zertifikat auf den Server, auf dem OSP ausgeführt wird.
Importieren Sie die Datei mit dem Java-Keytool in den cacerts-Keystore der JRE.
Beispiel: /opt/netiq/common/jre/bin/keytool -importcert -trustcacerts -alias <NAM-Zertifikat> -keystore /opt/netiq/common/jre/lib/security -storepass <Passwort> -file custom_location/<exportierte_Datei>
Installieren Sie das OSP-Zertifikat im Access Manager-Truststore.
Weitere Informationen finden Sie in Abschnitt 18.2.3, Installieren des SSL-Serverzertifikats im Access Manager-Truststore.
Der Access Manager-Truststore muss das Sicherheitszertifikat für OSP umfassen. Weitere Informationen finden Sie unter „Managing Trusted Roots and Trust Stores“ (Verwalten von Herkunftsverbürgungen und Truststores) im NetIQ Access Manager Administration Console Guide (Handbuch zur NetIQ Access Manager-Verwaltungskonsole).
Rufen Sie das Serverzertifikat ab, das für SSL von der Tomcat-Instanz verwendet wird, auf der OSP ausgeführt wird.
Kopieren Sie das SSL-Serverzertifikat der Tomcat-Instanz, in der OSP gehostet wird, auf den Server, auf dem Sie Access Manager installiert haben.
Öffnen Sie die Verwaltungskonsole in Access Manager.
Klicken Sie zum Importieren des Zertifikats auf Sicherheit > NIDP-Truststore.
Klicken Sie auf Hinzufügen.
Wählen Sie "Herkunftsverbürgung" unter Dialogfeld hinzufügen > Importieren aus.
Wählen Sie das zu importierende Stammzertifikat aus, und klicken Sie auf OK.
Überprüfen Sie, ob OSP die Authentifizierungsverknüpfungen von SAML erkennt.
Weitere Informationen finden Sie in Abschnitt 18.4.2, Erstellen eines Attributsatzes für SAML.