認証を保証するために、Access ManagerとOSPはそれぞれのSSL証明書のルート認証局を共有する必要があります。このセクションでは、Access Managerの新しい証明書を作成した後、トラストストアに適切な証明書が存在することを保証する方法について説明します。
Access Managerは、そのデフォルトのSSL証明書test-connectorを使用してIdentity Managerと通信することはできません。かわりに、証明書の件名にホスト名を含む証明書を作成してAccess Managerに割り当てる必要があります。
詳細については、『NetIQ Access Manager Administration Console Guide』の「Security and Certificate Management」を参照してください。
Access Managerの管理コンソールを開きます。
[Security (セキュリティ)]>[Certificates (証明書)]の順にクリックします。
[New (新規)]をクリックします。
新しい証明書の名前を指定します。たとえば、「hostname_ssl」と指定します。
ウィンドウの右側にある編集ボタンをクリックします。
[Common name (一般名)]でAccess ManagerをホストするサーバのDNS名を指定し、[OK]をクリックします。
[Months valid (有効な月数)]では、最大99までの値を指定します。
[Key size (キーサイズ)]では、2048を指定します。
新しく作成した証明書を選択し、[Actions (アクション)]>[Add certificate to Keystores... (証明書をキーストアに追加)]の順にクリックします。
[Keystores (キーストア)]の右側にある編集ボタンをクリックします。
[SSL connector (SSLコネクタ)]を選択して[OK]をクリックします。
[OK]をクリックします。
OSPトラストストアに新しい証明書をインストールします。詳細については、セクション 49.2.2, Access Managerの証明書のIdentity Managerトラストストアへのインストールを参照してください。
OSPトラストストアには、Access Managerのセキュリティ証明書が存在する必要があります。
新しく作成したSSL証明書をエクスポートするには、次のアクションを実行します。
Access Managerの管理コンソールのセキュリティ > ルート認証局で、SSL証明書のルート証明書をエクスポートします。ルート証明書に「configCA」という名前を付けます。
SSLサーバ証明書をエクスポートします。
詳細については、『NetIQ Access Manager Administration Console Guide』の「Managing Trusted Roots and Trust Stores」を参照してください。
エクスポートされた証明書をOSPを実行しているサーバにコピーします。
このファイルを、Javaに付属のkeytoolを使用して、JREのcacertsキーストアにインポートします。
例: /opt/netiq/idm/apps/jre/bin/keytool -keystore /opt/netiq/idm/apps/jre/lib/security/cacerts -storepass <password> -importcert -trustcacerts -alias <NAM-cert> -file custom_location/<exported_file>
OSP証明書をAccess Managerトラストストアにインストールします。
詳細については、セクション 49.2.3, SSLサーバの証明書のAccess Managerトラストストアへのインストールを参照してください。
Access Managerトラストストアには、OSPのセキュリティ証明書が存在する必要があります。詳細については、『NetIQ Access Manager Administration Console Guide』の「Managing Trusted Roots and Trust Stores」を参照してください。
OSPを実行しているTomcatインスタンスによってSSLに使用されるサーバ証明書を取得します。
OSPをホストするTomcatインスタンスのSSLサーバ証明書を、Access Managerをインストールしたサーバにコピーします。
Access Managerの管理コンソールを開きます。
証明書をインポートするには、セキュリティ] > [NIDP Trust Store (NIDPトラストストア)をクリックします。
追加をクリックします。
Add dialog (ダイアログの追加) > インポートからルート認証局を選択します。
インポートするルート証明書を選択してOKをクリックします。
OSPがSAMLからの認証アサーションを認識することを確認します。
詳細については、セクション 49.4.2, SAMLの属性セットの作成を参照してください。