为确保完成鉴定,Access Manager 和 OSP 必须共享其 SSL 证书的可信根。本节将帮助您为 Access Manager 创建新证书,并确保可信证书存储区包含正确的证书。
Access Manager 无法使用其默认的 SSL 证书 test-connector 来与 Identity Manager 进行通讯。您必须创建一个证书主题字段中包含主机名的证书,然后将它指派给 Access Manager。
有关详细信息,请参见《NetIQ Access Manager Administration Console Guide》(NetIQ Access Manager 管理控制台指南)中的“Security and Certificate Management”(安全性和证书管理)。
打开 Access Manager 的管理控制台。
单击安全性 > 证书。
单击新建。
指定新证书的名称。例如:hostname_ssl。
单击窗口右侧的编辑按钮。
对于常用名,请指定托管 Access Manager 的服务器的 DNS 名称,然后单击确定。
对于有效月数,请指定一个不超过 99 的值。
对于密钥大小,请指定 2048。
选择新建的证书,然后单击操作 > 将证书添加到密钥存储区...。
单击密钥存储区右侧的编辑按钮。
选择 SSL 连接器,然后单击确定。
单击确定。
在 OSP 可信证书存储区中安装新证书。有关详细信息,请参见部分 26.2.2, 在 Identity Manager 可信证书存储区中安装 Access Manager 证书。
OSP 可信证书存储区必须包含 Access Manager 的安全性证书。
要导出新的 SSL 证书,请完成以下操作:
在 Access Manager 管理控制台的安全性 > 可信根下,导出 SSL 证书的根证书。将根证书命名为 configCA。
导出 SSL 服务器证书。
有关详细信息,请参见《NetIQ Access Manager Administration Console Guide》(NetIQ Access Manager 管理控制台指南)中的“Managing Trusted Roots and Trust Stores”(管理可信根和可信证书存储区)。
将导出的证书复制到运行 OSP 的服务器上。
使用随 Java 提供的 keytool 将该文件导入到 JRE 的 cacerts 密钥存储区中。
例如,C:\NetIQ\idm\apps\jre\bin\keytool -importcert -trustcacerts -alias <NAM-cert> -keystore C:\NetIQ\idm\apps\jre\bin\security\cacerts -storepass <password> -file custom_location\<exported_file>
在 Access Manager 可信证书存储区中安装 OSP 证书。
Access Manager 可信证书存储区必须包含 OSP 的安全性证书。有关详细信息,请参见《NetIQ Access Manager Administration Console Guide》(NetIQ Access Manager 管理控制台指南)中的“Managing Trusted Roots and Trust Stores”(管理可信根和可信证书存储区)。
获取运行 OSP 的 Tomcat 实例要用于 SSL 的服务器证书。
将托管 OSP 的 Tomcat 实例的 SSL 服务器证书复制到装有 Access Manager 的服务器。
打开 Access Manager 的管理控制台。
要导入证书,请单击安全性 > NIDP 可信证书存储区。
单击添加。
从添加对话框 > 导入中选择“可信根”。
选择要导入的根证书,然后单击确定。
确保 OSP 能够识别来自 SAML 的鉴定声明。
有关详细信息,请参见部分 26.4.2, 创建 SAML 的属性集。