iManager 可在不需要用户介入的情况下于后台创建安全 LDAP 连接。如果因为某种原因(如新的组织 CA)而更新了 LDAP 服务器的 SSL 证书,iManager 应使用已鉴定连接自动检索新的证书并将其导入其自身的密钥存储区数据库中。
如果此操作失败,则必须删除 iManager 所使用的私钥存储区,以强制 iManager 和 Tomcat 重创建数据库并再次获取证书:
关闭 Tomcat。
删除 TOMCAT_HOME\webapps\nps\WEB-INF\iMKS 文件。
重启动 Tomcat。
有关重启动 Tomcat 的信息,请参见启动和停止 Tomcat。
在浏览器中打开 iManager 并重新登录到树,以自动重获取新证书并重创建数据库存储区。
或者,您也可以通过使用 JDK 中可用的 keytool 证书管理实用程序,手动将所需的证书导入 Tomcat 的 JVM 默认密钥存储区中。创建安全 SSL 连接的过程中,iManager 会首先尝试 JVM 默认密钥存储区,然后再使用 iManager 特定的密钥存储区数据库。
以 DER 格式保存 eDirectory 证书之后,必须将可信根证书导入 iManager 密钥存储区中。为此,您需要 JDK 才能使用 keytool。如果 JRE 与 iManager 一同安装,您必须下载 JDK 才能使用 keytool。
注:有关创建 .der 证书文件的信息,请参见《NetIQ 证书服务器管理指南》中的导出可信根或公共密钥证书。您可能要导出可信根证书。
打开命令窗口。
更改为安装 JDK 的 \bin 目录。
例如,在 Windows 系统上,您应输入下列命令:
cd j2sdk1.5.0_11\bin
使用 keytool,执行下列 keytool 命令(平台特定)将证书导入密钥存储区中:
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
将 alias_name 替换为此证书的唯一名称,并确保已包含 trustedrootcert.der 和 cacerts 的完整路径。
命令中的最后路径指定密钥存储区位置。由于该路径由 iManager 的安装位置而定,因此系统不同,它也会有所不同。以下是 iManager 在 Windows 和 Linux 中的默认位置的示例:
在密钥存储区口令中输入 changeit。
单击“是”信任此证书。
注:必须为每个要通过 iManager 访问的 eDirectory 树重复此过程。如果已将 LDAP 配置为使用树的组织 CA 未签名的证书,则必须导入该证书的可信根。例如,如果将 LDAP 配置为使用 VeriSign* 签名的证书,则需要这样做。