29.3 Aktivieren von SSL mit einem externen, CA-signierten Zertifikat

In einer Produktionsumgebung verwenden Sie ein signiertes Zertifikat, das von einer gültigen Zertifizierungsstelle ausgegeben wurde. In diesem Abschnitt wird beschrieben, wie Sie ein signiertes Zertifikat in den standardmäßigen Tomcat-Anwendungsserver für die Identitätsanwendungen importieren.

Bei diesem Verfahren wird vorausgesetzt, dass Ihnen ein signiertes Zertifikat einer gültigen Zertifizierungsstelle vorliegt. Weitere Informationen finden Sie in Abschnitt 29.2, Erstellen eines Keystore und eines Zertifizierungsantrags.

So verwenden Sie ein signiertes Zertifikat und SSL:

  1. Kopieren Sie das Zertifikat in das Konfigurationsverzeichnis auf dem Anwendungsserver. Beispiel: C:\NetIQ\idm\apps\tomcat\conf.

  2. Konvertieren Sie das Stammzertifikat mit den folgenden Schritten in das DER-Format:

    1. Doppelklicken Sie auf das Zertifikat im Verzeichnis conf.

    2. Klicken Sie im Dialogfeld „Zertifikat“ auf Zertifikatspfad.

    3. Wählen Sie das Stammzertifikat aus, das Sie von der Signierungsstelle erhalten haben.

    4. Klicken Sie auf Zertifikat anzeigen.

    5. Klicken Sie auf Details > In Datei kopieren.

    6. Klicken Sie im Assistenten zum Exportieren von Zertifikaten auf Weiter.

    7. Wählen Sie DER-verschlüsselte Binärdatei für X.509 (.CER), und klicken Sie auf Weiter.

    8. Erstellen Sie eine neue Datei für das soeben formatierte Zertifikat, und speichern Sie es im Verzeichnis conf auf dem Anwendungsserver.

      Beispiel: C:\NetIQ\idm\apps\tomcat\conf.

    9. Klicken Sie auf Fertig stellen.

  3. Importieren Sie das konvertierte Zertifikat mit den folgenden Schritten:

    1. Navigieren Sie in einer Befehlszeile zum Verzeichnis conf auf dem Anwendungsserver.

    2. Geben Sie den folgenden Befehl ein:

      keytool -import -trustcacerts -alias root -keystore your.keystore -file yourRootCA.der

      Beispiel:

      keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file IDMTESTREE.der

      HINWEIS:Sie müssen das Alias Root eingeben.

      Nach dem Import des Zertifikats gibt der Server die Meldung aus, dass das Zertifikat dem Keystore hinzugefügt wurde.

    3. Prüfen Sie mithilfe des folgenden Befehls, dass das signierte Zertifikat korrekt in das Verzeichnis conf importiert wurde:

      keytool -list -v -alias root -keystore your.keystore

      Beispiel:

      keytool -list -v -alias root -keystore IDMkey.keystore

      Der Server führt Ihre Zertifikate auf.

  4. NetIQ empfiehlt, signierte Zertifikate auch in Java cacerts zu importieren. Beispiel: 

    keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file IDMTESTREE.der

  5. Angaben zur Aktualisierung der SSL-Einstellungen für den Anwendungsserver finden Sie in Abschnitt 29.6, Aktualisieren der SSL-Einstellungen für den Anwendungsserver.

  6. Aktualisieren Sie die SSL-Einstellungen im Konfigurationsprogramm. Weitere Informationen finden Sie in Abschnitt 29.7, Aktualisieren der SSL-Einstellungen im Konfigurationsprogramm.

  7. Aktualisieren der SSL-Einstellungen für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung. Weitere Informationen finden Sie unter Abschnitt 29.8, Aktualisieren der SSL-Einstellungen für die Funktion zum Zurücksetzen von Passwörtern per Selbstbedienung.

  8. Starten Sie Tomcat neu.