以下过程说明如何为分布式部署创建 SSL 证书:
运行以下命令设置 Java 路径:
export PATH=/opt/netiq/common/jre/bin:$PATH
确保已在服务器上设置 Java 路径。例如:
export PATH=/opt/netiq/common/jre/bin/:$PATH
创建一个示例工作目录。
mkdir -p /opt/certs
生成 PKCS 密钥存储区:
keytool -genkey -alias < alias_name > -keyalg RSA -keystore <absolute path of keystore > -validity 3650 -keysize 1024 -dname "CN=<Subject Alternate Name>" -keypass <keypass> -storepass <storepass>
生成 CSR(证书签名请求):
keytool -certreq -v -alias < alias_name > -file < name of the csr file > -keypass < keypass > -keystore < absolute path of the keystore > -storepass < storepass >
生成自我签名证书:
以管理员身份登录 iManager。
导航到角色和任务 > NetIQ 证书服务器 > 颁发证书。
浏览到在步骤 4 中创建的 .csr 文件。例如:ua.csr。
单击下一步。
指定密钥用法,然后单击下一步。
对于证书类型,请选择未指定。
单击下一步。
指定证书的有效期,然后单击下一步。
选中二进制 DER 格式的文件单选按钮。
单击下一步。
单击完成。
下载证书并将其复制到 /data 目录。
导出 .der 格式的根证书:
以管理员身份登录 iManager。
导航到角色和任务 > NetIQ 证书访问 > 服务器证书。
选中 SSL 证书 DNS 复选框并单击导出。
在证书下拉列表中选择“组织 CA”。
在“导出格式”下拉列表中选择 DER。
单击下一步。
下载证书并将其复制到 /data 目录。
将证书导入到前面所述的 PKCS 密钥存储区。
keytool -import -trustcacerts -alias root -keystore <name of the keystore> -file <root certificate > -storepass <password> -noprompt
例如:
keytool -import -alias <alias name> -keystore <name of the keystore> -file <self-signed certificate> -storepass <password> -noprompt
针对 osp, userapp 和 reporting(如果它们在不同的计算机中使用)重复上述过程。