6.11 Erstellen eines SSL-Zertifikats für verteilte Bereitstellung

Das folgende Verfahren erklärt, wie Sie ein SSL-Zertifikat für die verteilte Bereitstellung erstellen:

  1. Führen Sie folgendes Kommando aus, um den Java-Pfad festzulegen:

    export PATH=/opt/netiq/common/jre/bin:$PATH

    Vergewissern Sie sich, dass der Java-Pfad auf dem Server festgelegt ist. Beispiel:

    export PATH=/opt/netiq/common/jre/bin/:$PATH

  2. Erstellen Sie ein Beispiel-Arbeitsverzeichnis.

    mkdir -p /opt/certs

  3. Generieren Sie den PKCS-Keystore:

    keytool -genkey -alias < alias_name > -keyalg RSA -keystore <absolute path of keystore > -validity 3650 -keysize 1024 -dname "CN=<Subject Alternate Name>" -keypass <keypass> -storepass <storepass>

  4. Generieren Sie eine Anforderung zur Zertifikatunterzeichnung (CSR):

    keytool -certreq -v -alias < alias_name >  -file < name of the csr file > -keypass < keypass >  -keystore < absolute path of the keystore >  -storepass < storepass >

  5. Erzeugen Sie ein selbstsigniertes Zertifikat:

    1. Melden Sie sich als Administrator bei iManager an.

    2. Navigieren Sie zu Rollen und Aufgaben > NetIQ-Zertifikatsserver > Zertifikat ausstellen.

    3. Navigieren Sie zur .csr-Datei, die Sie in Schritt 4 erstellt haben. Beispiel: ua.csr.

    4. Klicken Sie auf Next (Weiter).

    5. Geben Sie die Schlüsselnutzung an und klicken Sie auf Weiter.

    6. Wählen Sie für den Zertifikattyp die Option Nicht angegeben aus.

    7. Klicken Sie auf Weiter.

    8. Geben Sie die Gültigkeit des Zertifikats an und klicken Sie auf Weiter.

    9. Wählen Sie das Optionsfeld Datei im binären DER-Format aus.

    10. Klicken Sie auf Weiter.

    11. Klicken Sie auf Fertig stellen.

    12. Laden Sie das Zertifikat herunter und kopieren Sie es in das Verzeichnis /data.

  6. Exportieren Sie das Root-Zertifikat im .der-Format:

    1. Melden Sie sich als Administrator bei iManager an.

    2. Navigieren Sie zu Rollen und Aufgaben > Zugriff auf NetIQ-Zertifikate > Serverzertifikate.

    3. Aktivieren Sie das Kontrollkästchen SSL CertificateDNS und klicken Sie auf Exportieren.

    4. Wählen Sie in der Dropdown-Liste Zertifikate die Zertifizierungsstelle der Organisation aus.

    5. Wählen Sie DER in der Dropdown-Liste der Exportformate aus.

    6. Klicken Sie auf Weiter.

    7. Laden Sie das Zertifikat herunter und kopieren Sie es in das Verzeichnis /data.

  7. Importieren Sie die Zertifikate in den PKCS-Keystore, wie zuvor beschrieben.

    keytool -import -trustcacerts -alias root -keystore <name of the keystore> -file <root certificate > -storepass <password> -noprompt

    Beispiel:

    keytool -import -alias <alias name> -keystore <name of the keystore> -file <self-signed certificate> -storepass <password> -noprompt

  8. Wiederholen Sie das obige Verfahren für jede osp, userapp und reporting, wenn sie auf verschiedenen Rechnern verwendet werden.