Sie können in Ihrer Testumgebung ein eigensigniertes Zertifikat verwenden. Dieses ist einfacher zu beschaffen ist als ein signiertes Zertifikat von einer gültigen Zertifizierungsstelle.
Mit iManager können Sie die Zertifizierungsstelle (CA) aus Ihrem eDirectory-Server exportieren und so ein eigensigniertes Zertifikat generieren.
Melden Sie sich mit dem Benutzernamen und dem Passwort des eDirectory-Administrators bei iManager an.
Klicken Sie auf Administration > Objekt bearbeiten.
Wechseln Sie im Sicherheitscontainer zum CA-Objekt BaumnameCA.Security. Beispiel:·IDMTESTBAUM CA.Security.
Klicken Sie auf OK.
Klicken Sie auf Zertifikate > Eigensigniertes Zertifikat.
Wählen Sie das gewünschte eigensignierte Zertifikat aus.
Beispiel: Eigensigniertes RSA-Zertifikat
Prüfen Sie Eigensigniertes RSA-Zertifikat.
Klicken Sie auf Bestätigen.
Klicken Sie auf Exportieren.
Deaktivieren Sie die Option Privaten Schlüssel exportieren.
Klicken Sie auf Exportformat > DER.
Klicken Sie auf Weiter.
Klicken Sie auf Exportiertes Zertifikat speichern.
Klicken Sie auf Datei speichern.
iManager speichert die Datei als Baumname cert.der. Beispiel: IDMTESTBAUM cert.der.
Klicken Sie auf Schließen.
Kopieren Sie das Zertifikat in das Konfigurationsverzeichnis auf dem Anwendungsserver (cert.der).
Beispiel: /opt/netiq/idm/apps/tomcat/conf.
Importieren Sie das Stammzertifikat mit den folgenden Schritten:
Navigieren Sie mithilfe des folgenden Befehls zum Verzeichnis conf der Anwendungsserver-Installation:
keytool -import -trustcacerts -alias root -keystore <keystore file>.keystore -file exported_certificate_filename.der
Beispiel:
keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file cert.der
HINWEIS:Sie müssen das Alias Root eingeben.
Nach dem Import des Zertifikats gibt der Server die Meldung aus, dass das Zertifikat dem Keystore hinzugefügt wurde.
NetIQ empfiehlt, Stammzertifikate auch in Java cacerts zu importieren.
Beispiel:
keytool -import -trustcacerts -alias root -keystore /opt/netiq/common/jre/lib/security/cacerts -file cert.der
Prüfen Sie mithilfe des folgenden Befehls, dass das signierte Zertifikat korrekt in das Verzeichnis conf importiert wurde:
keytool -list -v -alias root -keystore your.keystore
Beispiel:
keytool -list -v -alias root -keystore IDMkey.keystore
Der Server führt die Zertifikate auf.
Zum Erstellen eines eigensignierten Zertifikats benötigen Sie einen Keystore und eine Zertifizierungsantragsdatei. Weitere Informationen hierzu finden Sie unter, Abschnitt 20.2, Erstellen eines Keystore und eines Zertifizierungsantrags
Melden Sie sich bei iManager an.
Navigieren Sie zu Certificate Server > Zertifikat ausstellen.
Navigieren Sie zur .csr-Datei unter Abschnitt 20.2, Erstellen eines Keystore und eines Zertifizierungsantrags, die Sie in Schritt 7 erstellt haben.
Beispiel: IDMcertrequest.csr
Klicken Sie zweimal auf Weiter.
Wählen Sie unter „Zertifikattyp“ die Option Nicht angegeben.
Klicken Sie zweimal auf Weiter.
iManager speichert die Datei als csr_Anforderungsname.der. Beispiel: IDMcertrequest.der
Kopieren Sie das Zertifikat in das Konfigurationsverzeichnis auf dem Anwendungsserver (IDMcertrequest.der).
Beispiel: /opt/netiq/idm/apps/tomcat/conf.
Importieren Sie das generierte eigensignierte Zertifikat mit den folgenden Schritten:
Navigieren Sie mithilfe des folgenden Befehls zum Verzeichnis conf der Anwendungsserver-Installation:
keytool -import -alias keystore_name -keystore <keystore_file> -file <signed_certificate_filename>.der
Beispiel:
keytool -import -alias IDMkey -keystore IDMkey.keystore -file IDMcertrequest.der
HINWEIS:Sie müssen den Keystore-Namen als Alias angeben.
Nach dem Import des Zertifikats gibt der Server die Meldung aus, dass das Zertifikat dem Keystore hinzugefügt wurde.
NetIQ empfiehlt, eigensignierte Zertifikate auch in Java cacerts zu importieren.
Beispiel:
keytool -import -alias IDMkey -keystore /opt/netiq/common/jre/lib/security/cacerts -file IDMcertrequest.der
Prüfen Sie mithilfe des folgenden Befehls, ob das signierte Zertifikat korrekt in das Verzeichnis conf importiert wurde:
keytool -list -v -alias keystore_name -keystore your.jks
Beispiel:
keytool -list -v -alias IDMkey -keystore IDMkey.jks
Der Server führt die Zertifikate auf.
Aktualisieren Sie die SSL-Einstellungen für den Anwendungsserver. Weitere Informationen finden Sie unter Abschnitt 20.6, Aktualisieren der SSL-Einstellungen für den Anwendungsserver.
Aktualisieren Sie die SSL-Einstellungen im Konfigurationsprogramm. Weitere Informationen finden Sie in Abschnitt 20.7, Aktualisieren der SSL-Einstellungen im Konfigurationsprogramm.
Aktualisieren der SSL-Einstellungen für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung. Weitere Informationen finden Sie unter Abschnitt 20.8, Aktualisieren der SSL-Einstellungen für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung.
Starten Sie Tomcat neu.