iManager può creare connessioni LDAP sicure in background senza alcun intervento da parte dell'utente. Se il certificato SSL del server LDAP viene aggiornato per qualsiasi motivo, ad esempio una nuova CA organizzativa, è necessario che in iManager il nuovo certificato venga automaticamente recuperato tramite la connessione autenticata e importato nel database dell'archivio chiavi.
Se l'operazione non viene eseguita correttamente, sarà necessario cancellare l'archivio delle chiavi private di Tomcat utilizzato in iManager per forzare iManager e Tomcat a ricreare il database e recuperare nuovamente il certificato:
Chiudere Tomcat.
Cancellare il file TOMCAT_HOME\webapps\nps\WEB-INF\iMKS.
Riavviare Tomcat.
Per ulteriori informazioni sul riavvio di Tomcat, vedere Avvio e interruzione di Tomcat.
Aprire iManager in un browser ed eseguire il login nell'albero per recuperare automaticamente il nuovo certificato e ricreare l'archivio di database.
In alternativa, è anche possibile importare manualmente il certificato necessario nell'archivio chiavi JVM di default di Tomcat utilizzando l'utility di gestione certificati keytool disponibile in JDK. Durante la creazione di connessioni SSL sicure, in iManager viene prima eseguito un tentativo con l'archivio chiavi JVM di default, quindi viene utilizzato il database dell'archivio chiavi specifico di iManager.
Una volta salvato un certificato eDirectory in formato DER, è necessario importare il certificato della fonte attendibile nell'archivio chiavi di iManager. Per questa operazione, è necessario un kit JDK (Java Development Kit) per utilizzare l'utility keytool. Se JRE (Java Runtime Evironment) è stato installato con iManager, è necessario scaricare un kit JDK per utilizzare l'utility keytool.
NOTA:Per informazioni sulla creazione di un file di certificato .der, consultare "Esportazione di un certificato della fonte attendibile o a chiave pubblica" nella Guida all'amministrazione di NetIQ Certificate Server. È consigliabile esportare il certificato della radice di fiducia.
Aprire una finestra di comando.
Spostarsi nella directory \bin in cui è installato il kit JDK.
Ad esempio, su un sistema Windows, immettere il seguente comando:
cd j2sdk1.5.0_11\bin
Importare il certificato nell'archivio chiavi con l'utilità keytool, eseguendo i seguenti comandi (specifici della piattaforma):
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
Sostituire nome_alias con un nome univoco per il certificato e accertarsi di includere il percorso completo nei file trustedrootcert.der e cacerts.
L'ultimo percorso nel comando indica l'ubicazione dell'archivio di chiavi. Il percorso varia a seconda del sistema, in quanto dipende dalla directory in cui è installato iManager. Vengono mostrate di seguito le ubicazioni di default di iManager su Windows e Linux:
Immettere changeit come parola d'ordine dell'archivio chiavi.
Fare clic su Sì per confermare l'attendibilità del certificato.
NOTA:È necessario ripetere questo processo per ogni albero eDirectory a cui si accede con iManager. Se il servizio LDAP è configurato per utilizzare un certificato non firmato dalla CA organizzativa dell'albero, è necessario importare la radice di fiducia del certificato. Questa operazione è necessaria se ad esempio il servizio LDAP è configurato per utilizzare un certificato firmato con VeriSign*.