Après avoir installé iManager, vous pouvez modifier les paramètres de configuration, comme l'activation des adresses IPv6 ou la modification de l'utilisateur autorisé pour une arborescence eDirectory. En outre, NetIQ recommande de remplacer les certificats auto-signés créés lors de la procédure d'installation.
Les installations d'iManager en mode autonome incluent un certificat auto-signé temporaire destiné à être utilisé par Tomcat. Ce certificat expire après un an. NetIQ fournit ce certificat pour vous aider à rendre votre système opérationnel afin de pouvoir utiliser iManager immédiatement en toute sécurité après l'installation du produit. NetIQ et OpenSSL déconseillent l'utilisation de certificats auto-signés sauf à des fins de test. Nous vous conseillons de remplacer le certificat temporaire par un certificat sûr.
Tomcat stocke le certificat auto-signé dans un keystore qui utilise le format de fichier Tomcat (JKS). Normalement, vous devriez importer une clé privée pour remplacer le certificat. Toutefois, le keytool que vous utilisez pour modifier ce keystore Tomcat ne peut pas importer les clés privées. Cet outil n'utilise que les clés générées automatiquement.
Cette section explique comment générer une paire clé publique/clé privée dans eDirectory à l'aide du serveur de certificats NetIQ et remplacer le certificat temporaire. Si vous utilisez eDirectory, vous pouvez faire appel au serveur de certificats NetIQ pour générer, suivre, stocker et révoquer des certificats en toute sécurité sans autre investissement.
Cette section décrit comment créer une paire de clés dans eDirectory et exporter les clés publiques, privées et de racine des autorités de certification (CA) via un fichier PKCS#12. Cela inclut la modification du fichier de configuration server.xml de Tomcat afin d'utiliser la directive PKCS12 et de faire pointer la configuration vers un fichier P12 proprement dit plutôt que d'utiliser le keystore JKS par défaut.
Ce processus utilise les fichiers suivants :
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore, qui contient la paire de clés temporaire
C:\Program Files\Novell\jre\lib\security\cacerts, qui contient les certificats root approuvés
C:\Program Files\Novell\Tomcat\conf\server.xml, utilisé pour configurer l'utilisation de certificats par Tomcat
Pour remplacer les certificats auto-signés :
Pour créer un nouveau certificat, procédez comme suit :
Connectez-vous à iManager.
Cliquez sur NetIQ Certificate Server (Serveur de certificats NetIQ) > Create Server Certificate (Créer un certificat de serveur).
Sélectionnez le serveur approprié.
Indiquez un alias pour le serveur.
Acceptez les autres paramètres par défaut du certificat.
Pour exporter le certificat de serveur, procédez comme suit :
Dans iManager, sélectionnez Directory Administration (Administration des répertoires) > Modify Object (Modifier l'objet).
Recherchez et sélectionnez l'objet KMO (Key Material Object).
Cliquez sur Certificates (Certificats) > Export (Exporter).
Spécifiez un mot de passe.
Enregistrez le certificat de serveur en tant que PKCS#12 (.pfx).
Pour convertir le fichier .pfx en fichier .pem, procédez comme suit :
REMARQUE :OpenSSL n'est pas installé par défaut. Toutefois, vous pouvez télécharger une version à partir du site Web OpenSSL.
Entrez une commande, par exemple openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem.
Spécifiez le même mot de passe pour le certificat que celui spécifié à l'Étape 2.
Spécifiez un mot de passe pour le nouveau fichier .pem.
Si vous le souhaitez, vous pouvez utiliser le même mot de passe.
Pour convertir le fichier .pem en fichier .p12, procédez comme suit :
Entrez une commande, par exemple openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat".
Spécifiez le même mot de passe pour le certificat que celui spécifié à l'Étape 3.
Spécifiez un mot de passe pour le nouveau fichier .p12.
Si vous le souhaitez, vous pouvez utiliser le même mot de passe.
Copiez le fichier .p12 à l'emplacement du certificat de Tomcat, par défaut C:\Program Files\Novell\Tomcat\conf\ssl\.
Arrêtez le service Tomcat à l'aide du script de démarrage services.msc.
Pour vous assurer que Tomcat utilise le fichier de certificat .p12 qui vient d'être créé, ajoutez les variables keystoreType, keystoreFile et keystorePass au fichier server.xml de Tomcat. Par exemple :
<Connector className="org.apache.coyote.http11.Http11AprProtocol"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />
Ou
<Connector className="org.apache.coyote.http11.Http11NioProtocol"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />
Lorsque vous définissez le type de keystore sur PKCS12, vous devez spécifier le chemin d'accès complet au fichier de certificat, étant donné que Tomcat n'utilise plus par défaut le chemin du répertoire privé de Tomcat.
Démarrez le service Tomcat à l'aide du script de démarrage services.msc.
Une fois iManager installé, vous pouvez le configurer de manière à ce qu'il utilise les adresses IPv6.
Ouvrez le fichier catalina.properties dans le répertoire d'installation, situé par défaut dans répertoire_installation\Tomcat\conf.
Définissez les entrées de configuration suivantes dans le fichier de propriétés :
java.net.preferIPv4Stack=false
java.net.preferIPv4Addresses=true
Relancez Tomcat.
Une fois iManager installé, vous pouvez modifier les références de l'utilisateur autorisé ainsi que le nom de l'arborescence eDirectory gérée par cet utilisateur. Pour plus d'informations, reportez-vous à la section iManager Authorized Users and Groups (Groupes et utilisateurs autorisés par iManager) du NetIQ iManager Administration Guide (Guide d'administration de NetIQ iManager 2.7.7).
Connectez-vous à iManager.
Dans la vue Configurer, cliquez sur iManager Server(Serveur iManager) > Configure iManager (Configurer iManager) > Security (Sécurité).
Mettez à jour les références de l'utilisateur et le nom de l'arborescence.