iManagerでは、ユーザによる操作を必要とせずに、保護されたLDAP接続を作成できます。何らかの理由(新しい組織CAなど)でLDAPサーバのSSL証明書が更新される場合、iManagerでは認証された接続を使って新しい証明書を自動的に取得し、独自のキーストアデータベースにその証明書をインポートする必要があります。
この処理が行われない場合、強制的にiManagerとTomcatでデータベースを作成し直して、証明書を取得し直すために、iManagerが使用する秘密鍵のストアを削除する必要があります。
Tomcatをシャットダウンします。
TOMCAT_HOME\webapps\nps\WEB-INF\iMKS ファイルを削除します。
Tomcatを再起動します。
Tomcatの再起動については、Tomcatの起動および停止を参照してください。
自動的に新しい証明書を取得し直し、データベースストアを作成し直すために、ブラウザでiManagerを起動し、ツリーに再ログインします。
または、JDKで使用できるkeytool証明書管理ユーティリティを使って、TomcatのJVMのデフォルトキーストアに必要な証明書を手動でインポートできます。保護されたSSL接続を作成している場合、iManagerではまずJVMのデフォルトキーストアを確認し、iManager固有のキーストアデータベースを使用します。
eDirectory証明書をDER形式で保存した後、信頼されたルート証明書をiManagerキーストアにインポートする必要があります。これを行うには、keytoolを使用するためのJDKが必要です。iManagerによってJREがインストールされた場合、keytoolを使用するためにJDKをダウンロードする必要があります。
メモ:.der証明書ファイルを作成する方法については、『Novell Certificate Server Administration Guide』の「Exporting a Trusted Root or Public Key Certificate」を参照してください。信頼されたルート証明書をエクスポートする場合があります。
コマンドウィンドウを開きます。
JDKをインストールした場所の\binディレクトリに移動します。
たとえば、Windowsでは次のコマンドを入力します。
cd j2sdk1.5.0_11\bin
次のkeytoolコマンド(プラットフォーム固有)を実行して、keytoolを使って証明書をキーストアにインポートします。
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
alias_nameをこの証明書の固有の名前に置き換え、trustedrootcert.derおよびcacertsへの完全パスを含める必要があります。
コマンド内の最後のパスでは、キーストアの場所を指定します。これは、iManagerをインストールした場所によって決定されるため、システムによって異なります。次に、WindowsおよびLinuxでのiManagerのデフォルト場所の例を示します。
キーストアのパスワードとして「changeit」と入力します。
[はい]をクリックしてこの証明書を信頼します。
メモ:このプロセスは、iManagerでアクセスするそれぞれのeDirectoryツリーについて繰り返す必要があります。eDirectoryツリーの組織CAによって署名されていない証明書を使用するようにLDAPが設定されている場合は、その証明書の信頼されているルートをインポートする必要があります。これは、たとえばVeriSign*による署名付きの証明書を使用するようにLDAPが設定されている場合に必要になります。