A.1 Certificados LDAP Seguros

O iManager pode criar conexões LDAP seguras em segundo plano, sem qualquer intervenção do usuário. Se o certificado SSL do servidor LDAP for atualizado por qualquer motivo (por exemplo, nova CA Organizacional), o iManager deverá recuperar automaticamente o novo certificado usando a conexão autenticada e importá-la para o seu próprio banco de dados do keystore.

Se isso não ocorrer corretamente, será necessário apagar o armazenamento de chaves privadas usado pelo iManager para forçar o iManager e o Tomcat a recriarem o banco de dados e readquirirem o certificado:

  1. Encerre o Tomcat.

  2. Apague o arquivo TOMCAT_HOME\webapps\nps\WEB-INF\iMKS.

  3. Reinicie o Tomcat.

    Para obter informações sobre como reiniciar o Tomcat, consulte Iniciando e Interrompendo o Tomcat.

  4. Abra o iManager em um browser e faça novo login na árvore para readquirir automaticamente o novo certificado e recriar o armazenamento do banco de dados.

Como alternativa, importe manualmente o certificado necessário no keystore JVM padrão do Tomcat’ com o utilitário de gerenciamento de certificados keytool, disponível no JDK. Ao criar conexões SSL seguras, o iManager primeiro tenta o keystore JVM padrão e, em seguida, o banco de dados do keystore específico do iManager.

Depois de gravar um certificado do eDirectory no formato DER, importe o certificado de raiz confiável para o keystore do iManager. Para isso, você precisará de um JDK para utilizar o keytool. Se um JRE foi instalado com o iManager, faça o download de um JDK para usar o keytool.

NOTA:Para obter informações sobre como criar um arquivo de certificado .der, consulte "Exportando um Certificado de Raiz Confiável ou de Chave Pública" no Guia de administração do Servidor de Certificação da NetIQ . Você deve exportar o certificado de raiz confiável.

  1. Abra uma janela de comando.

  2. Mude para o diretório \bin no qual o JDK foi instalado.

    Por exemplo, em um sistema Windows, digite o seguinte comando:

    cd j2sdk1.5.0_11\bin

  3. Importe o certificado para o keystore com o keytool, executando estes comandos do keytool (específicos à plataforma):

    • Linux

      keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts

    • Windows

      keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts

    Substitua alias_name por um nome exclusivo para esse certificado e verifique se incluiu o caminho completo para os arquivos trustedrootcert.der e cacerts.

    O último caminho do comando especifica a localização do keystore. A localização varia de um sistema para outro, pois depende do local de instalação do iManager. Veja a seguir exemplos dos locais padrão do iManager no Windows e no Linux:

    • No Windows: C:\Arquivos de Programas\Novell\jre\lib\security\cacerts
    • No Linux: /<JAVA_HOME>/jre/lib/security/cacerts

  4. Digite changeit como a senha do armazenamento de chaves (keystore).

  5. Clique em Sim para confiar nesse certificado.

NOTA:Esse processo deve ser repetido para cada árvore do eDirectory que você vá acessar com o iManager. Se o LDAP foi tiver sido configurado para usar um certificado não assinado pela CA Organizacional da árvore, você deve importar a raiz confiável desse certificado. Isso é necessário, por exemplo, se o LDAP estiver configurado para usar um certificado assinado VeriSign*.