29.5 Aktivieren von SSL zwischen Sentinel und Identity Manager-Komponenten

Um die sichere Kommunikation zwischen Sentinel und den Identity Manager-Komponenten zu gewährleisten, können Sie ein eigensigniertes Serverzertifikat erstellen und exportieren. Verwenden Sie ein signiertes Zertifikat, das von einer gültigen Zertifizierungsstelle ausgestellt wurde.

29.5.1 Aktivieren von SSL zwischen Sentinel und Identity Manager-Engine/Remote Loader

  1. Erstellen Sie mit den folgenden Schritten ein neues Zertifikat:

    1. Melden Sie sich bei iManager an.

    2. Klicken Sie auf NetIQ Certificate Server > Create Server Certificate (Serverzertifikat erstellen).

    3. Wählen Sie den gewünschten Server aus.

    4. Geben Sie einen Kurznamen für den Server ein.

    5. Übernehmen Sie die restlichen Standardeinstellungen für das Zertifikat.

  2. Exportieren Sie das Serverzertifikat mit den folgenden Schritten in das .pfx-Format:

    1. Wählen Sie in iManager die Option Verzeichnisverwaltung > Objekt bearbeiten.

    2. Navigieren Sie zum Schlüsselmaterialobjekt (Key Material Object, (KMO), und wählen Sie es aus.

    3. Klicken Sie auf Zertifikate > Exportieren.

    4. Stellt das Passwort bereit.

    5. Speichern Sie das Serverzertifikat als PKCS#12-Datei. Beispiel: certificate.pfx.

  3. Extrahieren Sie den privaten Schlüssel mit dem nachfolgenden Befehl aus dem exportierten Zertifikat in die Datei dxipkey.pem.

    openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes

  4. Extrahieren Sie das Zertifikat in die Datei dxicert.pem.

    openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem

  5. Möchten Sie das CA-Zertifikat des eDirectory-Servers, das Sie unter Schritt 1 erstellt haben, im Format Base64 exportieren, gehen Sie wie folgt vor:

    1. Navigieren Sie in iManager zu Rollen und Aufgaben > Zugriff auf NetIQ-Zertifikate > Benutzerzertifikate.

    2. Wählen Sie das erstellte Zertifikat aus.

    3. Klicken Sie auf Exportieren.

    4. Wählen Sie im Dropdown-Menü unter CA-Zertifikat die Option OU=organizationCA.O=TREENAME.

    5. Wählen Sie im Dropdown-Menü unter Exportformat die Option BASE64.

    6. Klicken Sie auf Weiter und speichern Sie das Zertifikat. Beispiel: cacert.b64.

  6. Importieren Sie das CA-Zertifikat mit dem folgenden Befehl in einen Keystore:

    keytool -import -alias <Aliasname> -file <b64 file> -keystore <Keystore-Datei> –noprompt

    Beispiel:

    keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

  7. Möchten Sie das Zertifikat in den Truststore des Audit Connector importieren, gehen Sie wie folgt vor:

    1. Melden Sie sich als Administrator bei der Sentinel-Hauptoberfläche an.

    2. Wechseln Sie im ESM-Hauptfenster zum Audit-Server.

    3. Klicken Sie mit der rechten Maustaste auf den Audit-Server und klicken Sie auf Bearbeiten.

    4. Wählen Sie auf der Registerkarte „Sicherheit“ die Option Streng.

      HINWEIS:Standardmäßig ist der Offene (unsichere) Modus aktiviert, damit zu Beginn eine Verbindung hergestellt werden kann. Beim Einsatz in einer Produktionsumgebung muss jedoch der Modus Streng eingestellt werden.

    5. Klicken Sie auf Importieren und navigieren Sie zum in Schritt 6 erstellten Zertifikat. Beispiel: idmkeystore.ks.

    6. Klicken Sie auf Öffnen und dann auf Speichern.

    7. Starten Sie den Audit-Server neu.

  8. Kopieren Sie den privaten Schlüssel und die Zertifikate, die Sie in Schritt 3 und Schritt 4 erstellt haben, in die folgenden Speicherorte je nach Ihren Komponenten:

    Komponente

    Windows-Pfad

    Identity Manager-Engine

    C:\NetIQ\idm\NDS\DIBFiles

    Remote Loader

    Remote Loader-Installationsverzeichnis:

    C:\NetIQ\idm\RemoteLoader

    ODER

    C:\NetIQ\idm\RemoteLoader\64bit

    ODER

    C:\NetIQ\idm\RemoteLoader\32bit

    .NET Remote Loader

    C:\NetIQ\idm\RemoteLoader.NET

    Fan-out-Agent

    C:\NetIQ\idm\FanoutAgent

  9. Starten Sie die Identity Manager-Dienste neu.

29.5.2 Aktivieren von SSL zwischen Sentinel und Benutzeranwendung

  1. Erstellen Sie mit den folgenden Schritten ein neues Zertifikat:

    1. Melden Sie sich bei iManager an.

    2. Klicken Sie auf NetIQ-Zertifikatsserver > Benutzerzertifikat erstellen.

    3. Wählen Sie den Benutzer aus.

    4. Geben Sie einen Kurznamen für den Benutzer ein.

    5. Wählen Sie unter Erstellungsmethode die Option Benutzerdefiniert.

    6. Übernehmen Sie die restlichen Standardeinstellungen für das Zertifikat.

    7. Klicken Sie auf Weiter.

    8. Wählen Sie unter Benutzerdefinierte Erweiterungen die Option Neue DER-verschlüsselte Erweiterungen.

    9. Wechseln Sie zur benutzerdefinierten Erweiterung \products\UserApplication\ext.der.

    10. (Optional) Geben Sie die Email-Adresse an.

    11. Prüfen Sie die Zertifikatparameter und klicken Sie auf Fertig stellen.

  2. Exportieren Sie das Benutzerzertifikat mit den folgenden Schritten:

    1. Klicken Sie auf Zugriff auf NetIQ-Zertifikate > Benutzerzertifikate

    2. Wählen Sie das in Schritt 1 importierte Benutzerzertifikat aus.

    3. Wählen Sie das gültige Benutzerzertifikat aus, und klicken Sie auf Exportieren.

    4. Stellt das Passwort bereit.

    5. Speichern Sie das Benutzerzertifikat als PKCS12-Datei. Beispiel: certificate.pfx.

  3. Extrahieren Sie den privaten Schlüssel mit dem nachfolgenden Befehl aus dem exportierten Zertifikat in die Datei key.pem.

    openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes

  4. Extrahieren Sie das Zertifikat in die Datei cert.pem.

    openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem

  5. Halten Sie die Benutzeranwendung an.

  6. Fügen Sie den privaten Schlüssel und das Zertifikat zum configupdate-Dienstprogramm hinzu.

    1. Öffnen Sie das configupdate-Dienstprogramm.

    2. Klicken Sie auf Erweiterte Optionen anzeigen.

    3. Kopieren Sie im Feld Zertifikat für NetIQ Sentinel-Digitalsignatur die Datei cert.pem.

    4. Navigieren Sie im Feld Privater Schlüssel für NetIQ Sentinel-Digitalsignatur zum Speicherort, in den Sie den privaten Schlüssel (key.pem) exportiertiert haben, und importieren Sie den Schlüssel.

    5. Speichern Sie die Änderungen am configupdate-Dienstprogramm.

  7. Starten Sie die Benutzeranwendungen neu.

  8. Möchten Sie das CA-Zertifikat des eDirectory-Servers, das Sie unter Schritt 1 erstellt haben, im Format Base64 exportieren, gehen Sie wie folgt vor:

    1. Navigieren Sie in iManager zu Rollen und Aufgaben > Zugriff auf NetIQ-Zertifikate > Benutzerzertifikate.

    2. Wählen Sie das erstellte Zertifikat aus.

    3. Klicken Sie auf Exportieren und deaktivieren Sie das Kontrollkästchen „Privaten Schlüssel exportieren“.

    4. Wählen Sie im Dropdown-Menü unter Exportformat die Option BASE64.

    5. Klicken Sie auf Weiter und speichern Sie das Zertifikat. Beispiel: cacert.b64.

  9. Importieren Sie das CA-Zertifikat mit dem folgenden Befehl in einen Keystore:

    keytool -import -alias <Aliasname> -file cacert.b64 -keystore <Keystore-Datei> –noprompt

    Beispiel:

    keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

  10. Möchten Sie das Zertifikat in den Truststore des Audit Connector importieren, gehen Sie wie folgt vor:

    1. Melden Sie sich als Administrator bei der Sentinel-Hauptoberfläche an.

    2. Wechseln Sie im ESM-Hauptfenster zum Audit-Server.

    3. Klicken Sie mit der rechten Maustaste auf den Audit-Server und klicken Sie auf Bearbeiten.

    4. Wählen Sie auf der Registerkarte Sicherheit die Option Streng.

      HINWEIS:Standardmäßig ist der Offene (unsichere) Modus aktiviert, damit zu Beginn eine Verbindung hergestellt werden kann. Beim Einsatz in einer Produktionsumgebung muss jedoch der Modus Streng eingestellt werden.

    5. Klicken Sie auf Importieren und navigieren Sie zum in Schritt 9 erstellten Zertifikat. Beispiel: idmKeystore.ks.

    6. Klicken Sie auf Öffnen und dann auf Speichern.

    7. Starten Sie den Audit-Server neu.

  11. Starten Sie die Benutzeranwendungen neu.