iManager kann sichere LDAP-Verbindungen im Hintergrund ohne Eingreifen des Benutzers herstellen. Wenn das SSL-Zertifikat des LDAP-Servers aus irgendeinem Grunde aktualisiert wird (z.< >B. aufgrund einer neuen organisatorischen Zertifizierungsstelle), sollte iManager normalerweise automatisch das neue Zertifikat über die authentifizierte Verbindung abrufen und in die eigene KeyStore-Datenbank importieren.
Wenn dieser Vorgang nicht korrekt ausgeführt wird, müssen Sie den von iManager verwendeten privaten Schlüssel löschen, damit iManager und Tomcat die Datenbank neu erstellen und das Zertifikat erneut abrufen:
Fahren Sie Tomcat herunter.
Löschen Sie die Datei TOMCAT_HOME\webapps\nps\WEB-INF\iMKS .
Starten Sie Tomcat neu.
Informationen darüber, wie Sie Tomcat neu starten, finden Sie unter Starten und Stoppen von Tomcat.
Öffnen Sie iManager und melden Sie sich erneut am Baum an, damit das neue Zertifikat automatisch abgerufen und die Datenbank neu erstellt wird.
Alternativ können Sie das benötigte Zertifikat auch manuell in den JVM-Standard-KeyStore von Tomcat importieren. Verwenden Sie dazu das im JDK vorhandene Zertifikatsverwaltungsprogramm keytool. Beim Herstellen sicherer SSL-Verbindungen versucht iManager zunächst, den JVM-Standard-KeyStore zu verwenden, und benutzt dann die iManager-spezifische KeyStore-Datenbank.
Nachdem Sie ein eDirectory-Zertifikat im DER-Format gespeichert haben, müssen Sie das Herkunftsverbürgungszertifikat in den iManager-Keystore importieren. Dazu benötigen Sie ein JDK, um das Programm keytool verwenden zu können. Wenn eine JRE mit iManager installiert wurde, müssen Sie ein JDK herunterladen, um keytool verwenden zu können.
HINWEIS:Informationen über das Erstellen einer DER-Zertifikatsdatei finden Sie unter Exportieren eines Herkunftsverbürgungszertifikats oder eines Zertifikatis mit öffentlichem Schlüssel im NetIQ Certificate Server-Verwaltungshandbuch. Sie müssen das Herkunftsverbürgungszertifikat exportieren.
Öffnen Sie ein Befehlsfenster.
Wechseln Sie in das Verzeichnis \bin, in dem Sie das JDK installiert haben.
Geben Sie in einem Windows-System beispielsweise folgenden Befehl ein:
cd j2sdk1.5.0_11\bin
Importieren Sie das Zertifikat mit dem Programm keytool in den KeyStore. Führen Sie dazu je nach Plattform einen der folgenden Befehle aus:
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
Ersetzen Sie alias_name durch einen eindeutigen Namen für dieses Zertifikat und geben Sie den vollständigen Pfad für trustedrootcert.der und cacerts an.
Der letzte Pfad in dem Befehl gibt den KeyStore-Speicherort an. Diese Angabe variiert von System zu System, da sie davon abhängt, wo iManager installiert ist. Nachstehend finden Sie beispielhaft die Standardspeicherorte für iManager unter Windows und Linux:
Geben Sie als KeyStore-Passwort changeit ein.
Klicken Sie auf Ja, um dieses Zertifikat als vertrauenswürdig einzustufen.
HINWEIS:Dieser Vorgang muss für jeden eDirectory-Verzeichnisbaum verwendet werden, auf den Sie mit iManager zugreifen. Wenn LDAP zur Verwendung eines Zertifikats konfiguriert wurde, das nicht von der Organisations-CS des Baums signiert wurde, müssen Sie die Herkunftsverbürgung dieses Zertifikats importieren. Dies ist beispielsweise erforderlich, wenn LDAP zur Verwendung eines VeriSign*-signierten Zertifikats konfiguriert wurde.