29.4 Activation de SSL avec un certificat auto-signé

Il se peut que vous souhaitiez utiliser un certificat auto-signé dans votre environnement de test, puisque ce type de certificat est plus facile à obtenir qu'un certificat signé par une autorité de certification valide.

29.4.1 Exportation de l'autorité de certification

Vous pouvez utiliser iManager pour exporter l'autorité de certification (CA) à partir de votre serveur eDirectory afin de générer votre certificat auto-signé.

  1. Connectez-vous à iManager avec le nom d'utilisateur et le mot de passe de l'administrateur eDirectory.

  2. Cliquez sur Administration > Modify Object (Administration > Modifier un objet).

  3. Dans le conteneur de sécurité, recherchez l'objet CA appelé nom_arborescence CA.Security. Par exemple : IDMTESTTREE CA.Security.

  4. Cliquez sur OK.

  5. Cliquez sur Certificates > Self-Signed Certificate (Certificats > Certificat auto-signé).

  6. Sélectionnez les certificats auto-signés à utiliser.

    Exemple : RSA du certificat auto-signé

    1. Cochez RSA du certificat auto-signé.

    2. Cliquez sur Validate (Valider).

  7. Cliquez sur Export (Exporter).

  8. Effacez Export private key (Exporter la clé privée).

  9. Cliquez sur Export format > DER (Format d'exportation > DER).

  10. Cliquez sur Next (Suivant).

  11. Cliquez sur Save the exported certificate (Enregistrer le certificat exporté).

  12. Cliquez sur Save File (Enregistrer le fichier).

    iManager enregistre le fichier sous le nom nom_arborescence cert.der. Par exemple : IDMTESTREE cert.der.

  13. Cliquez sur Close (Fermer).

  14. Copiez le certificat dans le répertoire de configuration de votre serveur d'applications (cert.der).

    Par exemple : C:\NetIQ\idm\apps\tomcat\conf.

  15. Pour importer le certificat racine, procédez comme suit :

    1. Dans une invite de commande, accédez au répertoire conf de votre serveur d'applications à l'aide de la commande suivante :

      keytool -import -trustcacerts -alias root -keystore <keystore file>.keystore -file exported_certificate_filename.der

      Exemple :

      keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file cert.der

      REMARQUE :vous devez indiquer root comme alias.

      Après avoir importé le certificat, le serveur affiche Certificate was added to keystore (Certificat ajouté au Keystore).

    2. NetIQ vous recommande d'importer également le certificat racine à l'emplacement du fichier cacerts Java.

      Par exemple : 

      keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file cert.der

    3. Vérifiez que le certificat signé est importé correctement dans le répertoire conf à l'aide de la commande suivante :

      keytool -list -v -alias root -keystore your.jks

      Exemples :

      keytool -list -v -alias root -keystore IDMkey.jks

      Le serveur répertorie les certificats.

29.4.2 Génération du certificat auto-signé

Avant de générer le certificat auto-signé, assurez-vous que vous disposez d'un fichier Keystore et d'un fichier de demande de certificat. Pour plus d'informations, reportez-vous à la Section 29.2, Création d'un fichier Keystore et d'une demande de signature de certificat

  1. Connectez-vous à iManager.

  2. Accédez à Certificate Server > Issue Certificate (Serveur de certificat > Émettre un certificat).

  3. Recherchez le fichier .csr créé à l'Étape 7 de la Section 29.2, Création d'un fichier Keystore et d'une demande de signature de certificat.

    Exemple : IDMcertrequest.csr

  4. Cliquez sur Next (Suivant) deux fois.

  5. Pour le type de certificat, cliquez sur Unspecified (Non spécifié).

  6. Cliquez sur Next (Suivant) deux fois.

    iManager enregistre le fichier en tant que csr_request_name.der. Exemple : IDMcertrequest.der

  7. Copiez le certificat dans le répertoire de configuration de votre serveur d'applications (IDMcertrequest.der).

    Par exemple : C:\NetIQ\idm\apps\tomcat\conf.

  8. Pour importer le certificat auto-signé généré, procédez comme suit :

    1. Dans une invite de commande, accédez au répertoire conf de votre serveur d'applications à l'aide de la commande suivante :

      keytool -import -alias keystore_name -keystore <keystore_file> -file <signed_certificate_filename>.der

      Exemple :

      keytool -import -alias IDMkey -keystore IDMkey.keystore -file IDMcertrequest.der

      REMARQUE :vous devez spécifier le nom du Keystore comme étant votre alias.

      Après avoir importé le certificat, le serveur affiche Certificate was added to keystore (Certificat ajouté au Keystore).

    2. NetIQ recommande d'importer aussi le certificat auto-signé à l'emplacement du fichier cacerts de Java.

      Par exemple : 

      keytool -import -alias IDMkey -keystore 
C:\NetIQ\idm\jre\lib\security\cacerts -file IDMcertrequest.der

    3. Vérifiez que le certificat signé est importé correctement dans le répertoire conf à l'aide de la commande suivante :

      keytool -list -v -alias keystore_name -keystore your.jks

      Exemples :

      keytool -list -v -alias IDMkey -keystore IDMkey.jks

      Le serveur répertorie les certificats.

  9. Mettez à jour les paramètres SSL pour le serveur d'applications. Pour plus d'informations, reportez-vous à la Section 29.6, Mise à jour des paramètres SSL pour le serveur d'applications.

  10. Mettez à jour les paramètres SSL dans l'utilitaire de configuration. Pour plus d'informations, reportez-vous à la Section 29.7, Mise à jour des paramètres SSL dans l'utilitaire de configuration.

  11. Mettez à jour les paramètres SSL pour Self Service Password Reset. Pour plus d'informations, reportez-vous à la Section 29.8, Mise à jour des paramètres SSL pour SSPR

  12. Relancez Tomcat.