Vous pouvez créer et exporter un certificat de serveur auto-signé pour garantir une communication sécurisée entre les composants Sentinel et Identity Manager. Utilisez un certificat signé émis par une autorité de certification valide.
Pour créer un nouveau certificat, procédez comme suit :
Connectez-vous à iManager.
Cliquez sur NetIQ Certificate Server (Serveur de certificats NetIQ) > Create Server Certificate (Créer un certificat de serveur).
Sélectionnez le serveur approprié.
Indiquez un alias pour le serveur.
Acceptez les autres paramètres par défaut du certificat.
Pour exporter le certificat de serveur au format .pfx, procédez comme suit :
Dans iManager, sélectionnez Directory Administration (Administration des répertoires) > Modify Object (Modifier l'objet).
Recherchez et sélectionnez l'objet KMO (Key Material Object).
Cliquez sur Certificates (Certificats) > Export (Exporter).
Spécifiez un mot de passe.
Enregistrez le certificat de serveur en tant que PKCS#12. Par exemple, certificat.pfx.
Extrayez la clé privée du certificat exporté dans le fichier dxipkey.pem à l'aide de la commande suivante :
openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes
Extrayez le certificat dans le fichier dxicert.pem.
openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem
Pour exporter le certificat de l'autorité de certification du serveur eDirectory créé à l'Étape 1 au format Base64, procédez comme suit :
Dans iManager, accédez à Rôles et tâches > NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats de l'utilisateur).
Recherchez et sélectionnez le certificat créé.
Cliquez sur Exporter.
Dans le menu déroulant, sélectionnez OU=organizationCA.O=TREENAME comme certificat d'autorité de certification.
Comme format d'exportation, sélectionnez BASE64 dans le menu déroulant.
Cliquez sur Next (Suivant) et enregistrez le certificat. Par exemple, cacert.b64.
Importez le certificat de l'autorité de certification dans un fichier Keystore à l'aide de la commande suivante :
keytool -import -alias <nom_alias> -file <fichier_b64> -keystore <fichier_keystore> –noprompt
Exemples :
keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt
Pour importer le certificat dans le Truststore du connecteur d'audit, procédez comme suit :
Connectez-vous à l'interface principale de Sentinel en tant qu'administrateur.
Dans l'écran principal d'ESM, recherchez le serveur d'audit.
Cliquez avec le bouton droit de la souris sur le serveur d'audit, puis cliquez sur Éditer.
Sous l'onglet Sécurité, sélectionnez Strict.
REMARQUE :par défaut, le système est configuré pour utiliser le mode Ouvert (non sécurisé) pour permettre la connectivité initiale. Toutefois, si vous travaillez dans un environnement de production, veillez à définir le mode sur Strict.
Cliquez sur Importer et recherchez le certificat que vous avez créé à l'Étape 6. Par exemple, idmkeystore.ks.
Cliquez sur Ouvrir, puis sur Enregistrer.
Redémarrez le serveur d'audit.
Redémarrez les services Identity Manager.
Pour créer un nouveau certificat, procédez comme suit :
Connectez-vous à iManager.
Cliquez sur NetIQ Certificate Server (Serveur de certificats NetIQ) > Create User Certificate (Créer un certificat utilisateur).
Sélectionnez l'utilisateur approprié.
Indiquez un surnom pour l'utilisateur.
Dans Creation Method (Méthode de création), sélectionnez Custom (Personnalisée).
Acceptez les autres paramètres par défaut du certificat.
Cliquez sur Suivant.
Dans Custom Extensions (Extensions personnalisées-, sélectionnez New DER Encoded Extensions (Nouvelles extensions chiffrées au format DER).
Accédez à l'extension personnalisée \products\RBPM\ext.der.
(Facultatif) Spécifiez l'adresse électronique.
Passez en revue les paramètres de certificat, puis cliquez sur Terminer.
Pour exporter le certificat utilisateur, procédez comme suit :
Cliquez sur NetIQ Certificate Access (Accès au certificat NetIQ) > User Certificates (Certificats utilisateur).
Sélectionnez le certificat utilisateur importé à l'Étape 1.
Sélectionnez le certificat utilisateur valide et cliquez sur Exporter.
Spécifiez un mot de passe.
Enregistrez le certificat utilisateur en tant que PKCS #12. Par exemple, certificat.pfx.
Extrayez la clé privée du certificat exporté dans le fichier key.pem à l'aide de la commande suivante :
openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes
Extrayez le certificat dans le fichier cert.pem.
openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem
Arrêtez l'application utilisateur.
Ajoutez la clé privée et le certificat à l'utilitaire configupdate.
Ouvrez l'utilitaire configupdate.
Cliquez sur Afficher les options avancées.
Dans le champ Certificat de signature numérique de NetIQ Sentinel, copiez le fichier cert.pem.
Dans le champ Clé privée de signature numérique de NetIQ Sentinel, naviguez jusqu'à l'emplacement où vous avez extrait la clé privée (key.pem) et importez la clé.
Enregistrez les modifications apportées à l'utilitaire configupdate.
Redémarrez les applications utilisateur.
Pour exporter le certificat de l'autorité de certification du serveur eDirectory créé à l'Étape 1 au format Base64, procédez comme suit :
Dans iManager, accédez à Rôles et tâches > NetIQ Certificate Access (Accès aux certificats NetIQ) > User Certificates (Certificats de l'utilisateur).
Sélectionnez le certificat créé.
Cliquez sur Exporter et désactivez la case à cocher Export private key (Exporter la clé privée).
Comme format d'exportation, sélectionnez BASE64 dans le menu déroulant.
Cliquez sur Next (Suivant) et enregistrez le certificat. Par exemple, cacert.b64.
Importez le certificat de l'autorité de certification dans un fichier Keystore à l'aide de la commande suivante :
keytool -import -alias <nom_alias> -file cacert.b64 -keystore <fichier_keystore> –noprompt
Exemples :
keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt
Pour importer le certificat dans le Truststore du connecteur d'audit, procédez comme suit :
Connectez-vous à l'interface principale de Sentinel en tant qu'administrateur.
Dans l'écran principal d'ESM, recherchez le serveur d'audit.
Cliquez avec le bouton droit de la souris sur le serveur d'audit, puis cliquez sur Éditer.
Sous l'onglet Sécurité, sélectionnez Strict.
REMARQUE :par défaut, le système est configuré pour utiliser le mode Ouvert (non sécurisé) pour permettre la connectivité initiale. Toutefois, si vous travaillez dans un environnement de production, veillez à définir le mode sur Strict.
Cliquez sur Importer et recherchez le certificat que vous avez créé à l'Étape 9. Par exemple, idmKeystore.ks.
Cliquez sur Ouvrir, puis sur Enregistrer.
Redémarrez le serveur d'audit.
Redémarrez les applications utilisateur.