安裝 iManager 後,您可以修改組態設定,例如,啟用 IPv6 位址,或者變更 eDirectory 網路樹的授權使用者。此外,NetIQ 建議您取代安裝程序建立的自行簽署證書。
獨立 iManager 安裝會包含暫時性的自我簽署證書,以供 Tomcat 使用。證書的有效期為一年。NetIQ 提供此證書的目的是協助您啟動並執行系統,以便在安裝 iManager 後可立即安全地使用該產品。NetIQ 和 OpenSSL 不建議將自行簽署的證書用於測試以外的目的,相反,您應該用安全的證書取代暫存證書。
Tomcat 將自行簽署的證書儲存在使用 Tomcat (JKS) 格式檔案的金鑰儲存區中。通常,您是透過輸入私密金鑰來取代該證書的。但是,用於修改 Tomcat 金鑰儲存區的 keytool 無法輸入私密金鑰。該工具只能使用自行產生的金鑰。
本節說明如何使用 NetIQ Certificate Server 在 eDirectory 中產生公用金鑰/私密金鑰組,以及如何取代暫存證書。如果您正在使用 eDirectory,則可以使用 NetIQ Certificate Server 安全地產生、追蹤、儲存和撤銷證書,而無需再採用其他工具。
本節介紹如何在 eDirectory 中建立金鑰組,並透過 PKCS#12 檔案輸出公用金鑰、私密金鑰和根證書管理中心 (CA) 金鑰。其中包括修改 Tomcat 的 server.xml 組態檔案,以使用 PKCS12 指令,並使組態指向實際的 P12 檔案而不是使用預設的 JKS 金鑰儲存區。
此程序使用下列檔案:
C:\Program Files\Novell\Tomcat\conf\ssl\.keystore,用於存放暫存金鑰組
C:\Program Files\Novell\jre\lib\security\cacerts,用於存放可信的根證書
C:\Program Files\Novell\Tomcat\conf\server.xml,用於設定 Tomcat 的證書用法
若要取代自行簽署的證書:
若要建立新證書,請完成以下步驟:
登入 iManager。
按一下 NetIQ Certificate Server > 建立伺服器證書。
選取相應的伺服器。
指定伺服器的綽號。
接受其餘的證書預設值。
若要輸出伺服器證書,請完成以下步驟:
在 iManager 中,選取目錄管理 > 修改物件。
瀏覽並選取 Key Material Object (KMO) 物件。
按一下證書 > 輸出。
指定密碼。
將伺服器證書儲存為 PKCS#12 (.pfx)。
若要將 .pfx 檔案轉換為 .pem 檔案,請完成以下步驟:
附註:系統上預設不會安裝 OpenSSL。不過,您可以從 OpenSSL 網站下載所需的版本。
輸入一個指令,例如 openssl pkcs12 -in newtomcert.pfx -out newtomcert.pem。
指定您在步驟 2 中為證書指定的相同密碼。
為新的 .pem 檔案指定密碼。
如果您想使用相同密碼也可以。
若要將 .pem 檔案轉換為 .p12 檔案,請完成以下步驟:
輸入一個指令,例如 openssl pkcs12 -export -in newtomcert.pem -out newtomcert.p12 -name "New Tomcat"。
指定您在步驟 3 中為證書指定的相同密碼。
為新的 .p12 檔案指定密碼。
如果您想使用相同密碼也可以。
將 .p12 檔案複製到 Tomcat 證書位置 (預設為 C:\Program Files\Novell\Tomcat\conf\ssl\)。
使用 services.msc 啟動程序檔停止 Tomcat 服務。
為確保 Tomcat 使用新建立的 .p12 證書檔案,請將 keystoreType、keystoreFile 和 keystorePass 變數新增至 Tomcat 的 server.xml 檔案中。例如:
<Connector className="org.apache.coyote.http11.Http11AprProtocol"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />
或,
<Connector className="org.apache.coyote.http11.Http11NioProtocol"
port="8443" minProcessors="5" maxProcessors="75" enableLookups="true"
acceptCount="100" debug="0" scheme="https" secure="true"
useURIValidationHack="false" disableUploadTimeout="true">
<Factory className="org.apache.coyote.tomcat7.CoyoteServerSocketFactory"
clientAuth="false" protocol="TLS" keystoreType="PKCS12"
keystoreFile="C:\Program Files\Novell\Tomcat\conf\ssl\newtomcert.p12" keystorePass="password" />
如果金鑰儲存區類型設定為 PKCS12,則您必須指定證書檔案的整個路徑,因為 Tomcat 不再預設為使用 Tomcat 主路徑。
使用 services.msc 啟動程序檔啟動 Tomcat 服務。
安裝 iManager 後,您可以設定 iManager,讓其使用 IPv6 位址。
開啟安裝目錄中的 catalina.properties 檔案。依預設,該檔案位於 installation_directory\Tomcat\conf 中。
在 properties 檔案中設定以下組態項目:
java.net.preferIPv4Stack=false
java.net.preferIPv4Addresses=true
重新啟動 Tomcat。
安裝 iManager 後,您可以修改授權使用者的身分證明,以及此使用者要管理的相應 eDirectory 網路樹名稱。如需詳細資訊,請參閱《NetIQ iManager Administration Guide》(NetIQ iManager 管理指南) 中的「iManager Authorized Users and Groups」(iManager 授權使用者和群組)。
登入 iManager。
在「設定」檢視窗中,選取 iManager 伺服器 > 設定 iManager > 安全性。
更新使用者身分證明和網路樹名稱。