iManager может создавать защищенные соединения LDAP без вмешательства пользователя. Если по какой-либо причине сертификат SSL сервера LDAP обновляется (например, создана новая сертифицирующая организация), программа iManager должна автоматически получить новый сертификат через аутентифицированное соединения и импортировать его в собственную базу данных хранилища ключей.
Если сертификат таким образом получить не удается, необходимо удалить хранилище закрытых ключей, используемое iManager, чтобы iManager и Tomcat могли создать эту базу данных заново и попытаться получить сертификат еще раз.
Завершите работу сервера Tomcat.
Удалите файл TOMCAT_HOME\webapps\nps\WEB-INF\iMKS .
Перезапустите сервер Tomcat.
Информацию о перезапуске сервера Tomcat см. в разделе Запуск и прекращение работы сервера Tomcat.
Откройте iManager в навигаторе и снова зарегистрируйтесь в дереве, чтобы автоматически получить новый сертификат и заново создать базу данных сертификатов.
Кроме того, можно вручную импортировать требуемый сертификат в JVM-хранилище ключей Tomcat, используемое по умолчанию, с помощью утилиты управления сертификатами keytool, доступной в JDK. При создании защищенных соединений SSL iManager сначала пытается обратиться к JVM-хранилищу ключей, используемому по умолчанию, а затем переходит к конкретной базе данных ключей iManager.
После сохранения сертификата eDirectory в формате DER необходимо импортировать сертификат доверенного корня в хранилище ключей iManager. Для этого необходим пакет JDK (чтобы можно было воспользоваться программой keytool). Если среда JRE была установлена вместе с iManager, для использования программы keytool необходимо загрузить пакет JDK из Интернета.
ПРИМЕЧАНИЕ.Сведения о создании сертификата .der см. в разделе Экспорт сертификата доверенного корня или открытого ключа руководства по администрированию сервера сертификатов NetIQ. Экспортируйте сертификат доверенного корня.
Откройте окно команд.
Перейдите в каталог \bin, в котором был установлен пакет JDK.
Например, в системе Windows необходимо ввести следующую команду:
cd j2sdk1.5.0_11\bin
Импортируйте сертификат в хранилище с помощью утилиты keytool, выполнив следующие команды keytool (разные на разных платформах):
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
Замените псевдоним alias_name уникальным именем данного сертификата и убедитесь, что указан полный путь к файлам trustedrootcert.dir и cacerts.
Последний путь в команде определяет расположение хранилища ключей. Этот путь может различаться в разных системах, поскольку он зависит от места установки iManager. Ниже приведены примеры расположения iManager по умолчанию в Windows и Linux:
Введите changeit в качестве пароля хранилища ключей.
Нажмите кнопку Да, чтобы выразить доверие сертификату.
ПРИМЕЧАНИЕ.Эту процедуру необходимо повторить для каждого дерева eDirectory, к которому будут выполняться обращения в iManager. Если протокол LDAP настроен для использования сертификата, не подписанного внутренней сертифицирующей организацией дерева, необходимо импортировать доверенный корень этого сертификата. Это требуется, например, если протокол LDAP настроен для использования сертификата, подписанного VeriSign*.