金鑰儲存區是一個 Java 檔案,其中包含加密金鑰,有時還包含安全性證書。若要建立金鑰儲存區,可以使用 JRE 中隨附的 Java Keytool 公用程式。您可以建立 .jks 檔案,將證書產生到金鑰儲存區中。每個證書都與一個唯一的別名關聯。將金鑰儲存區放置在支援 Identity Applications 和 Identity Reporting 的應用程式伺服器的 conf 目錄中。
在指令提示符處,導覽至已部署 Identity Applications 的應用程式伺服器安裝的 conf 目錄。例如,C:\NetIQ\idm\apps\tomcat\conf。
tomcat/conf 路徑是安裝於 Tomcat 上的 Identity Applications 的預設路徑。根據您安裝應用程式和 Tomcat 的方式,該路徑會有所不同。
使用以下指令設定用於建立金鑰儲存區的環境路徑︰
cd C:\NetIQ\idm\apps\tomcat\conf export PATH=C:\NetIQ\idm\apps\jre\bin:$PATH
使用以下指令建立金鑰儲存區︰
keytool -genkey -alias keystore_name -keyalg RSA -keystore keystore_name.keystore -validity 3650 -keysize 2048
例如︰
keytool -genkey -alias IDMkey -keyalg RSA -keystore IDMkey.keystore -validity 3650 -keysize 2048
出現提示時,依據以下注意事項指定參數值︰
對於名字和姓氏,請指定伺服器的完全合格名稱。例如:
MyTomcatServer.NetIQ.com
使用正確的拼字。如果拼錯了任何單字,當您從簽章管理中心產生簽署的證書時,將會看到錯誤。
(選擇性) 建立一個簡單的文字檔,用於儲存您為參數值提供的資訊副本。
儲存這些資訊有助於確保您在向簽章管理中心申請簽章,以及輸入證書時提供相同的資訊。
將金鑰儲存區檔案複製到已部署 Identity Manager 元件和 SSPR 的每個應用程式伺服器例項的 tomcat/conf 目錄中。
若要產生 CA 證書申請,請完成以下步驟︰
在 conf 目錄中,建立名為 your_request.csr 的簡單文字檔。例如 IDMcertrequest.csr。
執行以下指令:
keytool -certreq -v -alias keystore_name -file your_request.csr -keypass keystore_password -keystore your.keystore -storepass your_password
例如,
keytool -certreq -v -alias IDMkey.keystore -file IDMcertrequest.csr -keypass IDMkeypass -keystore IDMkey.keystore -storepass IDMpass
當您執行該指令時,Keytool 公用程式會在 .csr 檔案中填入用於申請證書的相應資料。
(視情況而定) 若要取得簽署的證書,請將 .csr 檔案提交給有效的證書管理中心。
將證書複製到應用程式伺服器的組態目錄中。
例如,C:\NetIQ\idm\apps\tomcat\conf。
停止 Tomcat。
建立金鑰儲存區並產生 CA 證書申請後,請遵循以下程序將證書輸入金鑰儲存區︰
對於外部 CA 簽署的證書,請參閱節 29.3, 使用外部 CA 簽署的證書啟用 SSL。
對於自行簽署的證書,請參閱節 29.4, 使用自行簽署的證書啟用 SSL。