Eigenständige iManager-Installationen enthalten ein vorübergehendes, selbstsigniertes Zertifikat für die Verwendung durch Tomcat. Dieses Zertifikat ist ein Jahr lang gültig. NetIQ bietet dieses Zertifikat als Hilfestellung zum Einrichten des Systems, so dass Sie iManager direkt nach der Installation des Produkts installieren können. NetIQ und OpenSSL empfehlen, selbstsignierte Zertifikate ausschließlich für Testzwecke zu verwenden. Ersetzen Sie das temporäre Zertifikat stattdessen durch ein sicheres Zertifikat.
Tomcat speichert das selbstsignierte Zertifikat in einem Keystore mit dem Tomcat-Format (JKS). Im Normalfall würden Sie einen privaten Schlüssel als Ersatz für das Zertifikat importieren. Mit dem keytool, in dem Sie den Tomcat-Keystore bearbeiten, können Sie jedoch keine privaten Schlüssel importieren. Dieses Werkzeug verwendet lediglich einen selbst generierten Schlüssel.
In diesem Abschnitt erfahren Sie, wie Sie mit NetIQ Certificate Server in eDirectory ein Schlüsselpaar aus öffentlichem und privatem Schlüssel generieren und das temporäre Zertifikat ersetzen. Wenn Sie mit eDirectory arbeiten, können Sie mit NetIQ Certificate Server auf sichere Weise Zertifikate generieren, verfolgen, speichern und widerrufen, ganz ohne zusätzliche Investition.
HINWEIS:Die Informationen in diesem Abschnitt gelten nicht für OES Linux, bei dem sowohl Tomcat als auch Apache installiert werden. In der OES Linux-Dokumentation finden Sie Informationen dazu, wie das eigensignierte Apache-/Tomcat-Zertifikat ersetzt werden kann.
In diesem Abschnitt wird beschrieben, wie Sie ein Schlüsselpaar in eDirectory erstellen und die öffentlichen und privaten Schlüssel sowie die Root-Schlüssel der Zertifizierungsstelle (Certificate Authority, CA) auf der Linux-Plattform mithilfe einer PKCS#12-Datei exportieren. Hierzu muss u. a. die Tomcat-Konfigurationsdatei server.xml so bearbeitet werden, dass die PKCS12-Direktive verwendet wird, und die Konfiguration muss auf eine tatsächlich vorhandene P12-Datei verweisen. (Es kann nicht der standardmäßige JKS-Keystore verwendet werden.)
Für diesen Prozess werden die folgenden Dateien verwendet:
/var/opt/novell/novlwww/.keystore mit dem temporären Schlüsselpaar
/opt/novell/jdk1.8.0_66/jre/lib/security/cacerts mit den Herkunftsverbürgungszertifikaten
/etc/opt/novell/tomcat8/server.xml zum Konfigurieren der Verwendung von Zertifikaten in Tomcat
So ersetzen Sie die selbstsignierten Zertifikate in iManager unter Linux:
Erstellen Sie mit den folgenden Schritten ein neues Zertifikat:
Melden Sie sich bei iManager an.
Klicken Sie auf NetIQ Certificate Server > Create Server Certificate (Serverzertifikat erstellen).
Wählen Sie den gewünschten Server aus.
Geben Sie einen Kurznamen für den Server ein.
Übernehmen Sie die restlichen Standardeinstellungen für das Zertifikat.
Exportieren Sie das Serverzertifikat mit den folgenden Schritten in das Tomcat-Basisverzeichnis:
Wählen Sie in iManager die Option Verzeichnisverwaltung > Objekt bearbeiten.
Navigieren Sie zum Schlüsselmaterialobjekt (Key Material Object, (KMO), und wählen Sie es aus.
Klicken Sie auf Zertifikate > Exportieren.
Stellt das Passwort bereit.
Speichern Sie das Serverzertifikat als PKCS#12 (.pfx) im Verzeichnis /var/opt/novell/novlwww.
Konvertieren Sie die .pfx-Datei mit den folgenden Schritten in eine .pem-Datei:
Geben Sie einen Befehl ein, beispielsweise openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Geben Sie das Passwort für das Zertifikat ein, das Sie in Schritt 2 angegeben haben.
Geben Sie ein Passwort für die neue .pem-Datei an.
Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Konvertieren Sie die .pem-Datei mit den folgenden Schritten in eine .p12-Datei:
Geben Sie einen Befehl ein, beispielsweise openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Geben Sie das Passwort für das Zertifikat ein, das Sie in Schritt 3 angegeben haben.
Geben Sie ein Passwort für die neue .p12-Datei an.
Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Beenden Sie Tomcat mit dem folgenden Befehl:
/etc/init.d/novell-tomcat8 stop
Damit die soeben erstellte .p12-Zertifikatsdatei tatsächlich in Tomcat verwendet wird, fügen Sie die Variablen keystoreType, keystoreFile und keystorePass in die Tomcat-Konfigurationsdatei ein (standardmäßig /etc/opt/novell/tomcat8.0.22/server.xml). Beispiel:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/var/opt/novell/novlwww/newtomcert.p12" keystorePass="password" />
</Connector>
HINWEIS:Wenn Sie den Keystore-Typ auf PKCS12 festlegen, müssen Sie den vollständigen Pfad der Zertifikatsdatei angeben, da Tomcat nicht mehr standardmäßig den Tomcat-Basispfad verwendet.
Damit die .p12-Zertifikatsdatei ordnungsgemäß arbeitet, führen Sie die folgenden Schritte aus:
Weisen Sie das Eigentum an der Datei dem entsprechenden Tomcat-Benutzer bzw. der Tomcat-Gruppe zu (standardmäßig novlwww). Beispiel: chown novlwww:novlwww newtomcert.p12.
Ändern Sie die Dateiberechtigungen wie folgt: user=rw, group=rw und others=r. Beispiel: chmod 654 newtomcert.p12.
Starten Sie Tomcat mit dem folgenden Befehl neu:
/etc/init.d/novell-tomcat8 start
In diesem Abschnitt wird beschrieben, wie Sie ein Schlüsselpaar in eDirectory erstellen und die öffentlichen und privaten Schlüssel sowie die Root-Schlüssel der Zertifizierungsstelle (Certificate Authority, CA) auf der Windows-Plattform mithilfe einer PKCS#12-Datei exportieren. Hierzu muss u. a. die Tomcat-Konfigurationsdatei server.xml so bearbeitet werden, dass die PKCS12-Direktive verwendet wird, und die Konfiguration muss auf eine tatsächlich vorhandene P12-Datei verweisen. (Es kann nicht der standardmäßige JKS-Keystore verwendet werden.)
Für diesen Prozess werden die folgenden Dateien verwendet:
C:\Programme\Novell\Tomcat\conf\ssl\.keystore mit dem temporären Schlüsselpaar
C:\Programme\Novell\jre\lib\security\cacerts mit den Herkunftsverbürgungszertifikaten
C:\Programme\Novell\Tomcat\conf\server.xml zum Konfigurieren der Verwendung von Zertifikaten in Tomcat
So ersetzen Sie die selbstsignierten Zertifikate in iManager unter Windows:
Erstellen Sie ein neues Zertifikat mit den folgenden Schritten:
Melden Sie sich bei iManager an.
Klicken Sie auf NetIQ Certificate Server > Create Server Certificate (Serverzertifikat erstellen).
Wählen Sie den gewünschten Server aus.
Geben Sie einen Kurznamen für den Server ein.
Übernehmen Sie die restlichen Standardeinstellungen für das Zertifikat.
Exportieren Sie das Serverzertifikat mit den folgenden Schritten:
Wählen Sie in iManager die Option Verzeichnisverwaltung > Objekt bearbeiten.
Navigieren Sie zum Schlüsselmaterialobjekt (Key Material Object, (KMO), und wählen Sie es aus.
Klicken Sie auf Zertifikate > Exportieren.
Stellt das Passwort bereit.
Speichern Sie das Serverzertifikat als PKCS#12-Datei (.pfx).
Konvertieren Sie die .pfx-Datei mit den folgenden Schritten in eine .pem-Datei:
HINWEIS:OpenSSL ist nicht standardmäßig unter Windows installiert. Von der OpenSSL-Website können Sie jedoch eine Version für die Windows-Plattform herunterladen. Sie können das Zertifikat auch auf einer Linux-Plattform konvertieren, auf der OpenSSL standardmäßig installiert ist. Weitere Informationen zum Konvertieren der Datei unter Linux finden Sie in Abschnitt 3.1, Ersetzen der temporären selbstsignierten Zertifikate für iManager.
Geben Sie einen Befehl ein, beispielsweise openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Geben Sie das Passwort für das Zertifikat ein, das Sie in Schritt 2 angegeben haben.
Geben Sie ein Passwort für die neue .pem-Datei an.
Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Konvertieren Sie die .pem-Datei mit den folgenden Schritten in eine .p12-Datei:
Geben Sie einen Befehl ein, beispielsweise openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Geben Sie das Passwort für das Zertifikat ein, das Sie in Schritt 3 angegeben haben.
Geben Sie ein Passwort für die neue .p12-Datei an.
Wenn Sie möchten, können Sie dasselbe Passwort verwenden.
Kopieren Sie die Datei .p12 file an den Speicherort der Tomcat-Zertifikate (standardmäßig C:\Programme\Novell\Tomcat\conf\ssl\).
Beenden Sie den Tomcat-Dienst mit dem folgenden Befehl:
/etc/init.d/novell-tomcat8 stop
Damit die soeben erstellte .p12-Zertifikatsdatei tatsächlich in Tomcat verwendet wird, fügen Sie die Variablen keystoreType, keystoreFile und keystorePass in die Tomcat-Datei server.xml ein. Beispiel:
<Connector className="org.apache.coyote.tomcat8.CoyoteConnector"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat8.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="/conf/ssl/newtomcert.p12" keystorePass="password" />
Wenn Sie den Keystore-Typ auf PKCS12 einstellen, müssen Sie den vollständigen Pfad der Zertifikatsdatei angeben, da Tomcat nicht mehr standardmäßig den Tomcat-Basispfad verwendet.
Starten Sie den Tomcat-Dienst.