為了確保驗證順利完成,Access Manager 和 OSP 必須共享其 SSL 證書的可信根。本節的內容可協助您為 Access Manager 建立新證書,並確保可信證書儲存區包含正確的證書。
Access Manager 無法使用其預設 SSL 證書 test-connector 來與 Identity Manager 通訊。您必須建立一個證書標題欄位中包含主機名稱的證書,並將它指定給 Access Manager。
如需詳細資訊,請參閱《NetIQ Access Manager Administration Console Guide》(NetIQ Access Manager 管理主控台指南) 中的「Security and Certificate Management」(安全性和證書管理)。
開啟 Access Manager 的管理主控台。
按一下安全性 > 證書。
按一下「新增」。
指定新證書的名稱。例如 hostname_ssl。
按一下視窗右側的編輯按鈕。
對於公用名稱,請指定代管 Access Manager 之伺服器的 DNS 名稱,然後按一下確定。
對於有效月數,請指定不超過 99 的值。
對於金鑰大小,請指定 2048。
選取新建立的證書,然後按一下動作 > 將證書新增至金鑰儲存區...。
按一下金鑰儲存區右側的編輯按鈕。
選取 SSL 連接器,然後按一下確定。
按一下「確定」。
在 OSP 可信證書儲存區中安裝新證書。如需詳細資訊,請參閱節 26.2.2, 在 Identity Manager 可信證書儲存區中安裝 Access Manager 證書。
OSP 可信證書儲存區必須包含 Access Manager 的安全性證書。
若要輸出新 SSL 證書,請完成以下動作︰
在 Access Manager 管理主控台的安全性 > 可信的根下,輸出 SSL 證書的根證書。將根證書命名為 configCA。
輸出 SSL 伺服器證書。
如需詳細資訊,請參閱《NetIQ Access Manager Administration Console Guide》(NetIQ Access Manager 管理主控台指南) 中的「Managing Trusted Roots and Trust Stores」(管理可信的根和可信證書儲存區)。
將輸出的證書複製到執行 OSP 的伺服器上。
使用 Java 隨附的 keytool 將該檔案輸入到 JRE 的 cacerts 金鑰儲存區中。
例如,C:\NetIQ\idm\apps\jre\bin\keytool -importcert -trustcacerts -alias <NAM-cert> -keystore C:\NetIQ\idm\apps\jre\bin\security\cacerts -storepass <password> -file custom_location\<exported_file>
在 Access Manager 可信證書儲存區中安裝 OSP 證書。
Access Manager 可信證書儲存區必須包含 OSP 的安全性證書。如需詳細資訊,請參閱《NetIQ Access Manager Administration Console Guide》(NetIQ Access Manager 管理主控台指南) 中的「Managing Trusted Roots and Trust Stores」(管理可信的根和可信證書儲存區)。
獲取執行 OSP 的 Tomcat 例項要用於 SSL 的伺服器證書。
將代管 OSP 之 Tomcat 例項的 SSL 伺服器證書複製到安裝了 Access Manager 的伺服器上。
開啟 Access Manager 的管理主控台。
若要輸入證書,請按一下安全性 > NIDP 可信證書儲存區。
按一下新增。
從新增對話方塊 > 輸入中選取「可信的根」。
選取要輸入的根證書,然後按一下確定。
確保 OSP 能夠識別來自 SAML 的驗證宣示。
如需詳細資訊,請參閱節 26.4.2, 建立 SAML 的屬性集。