29.4 使用自行簽署的證書啟用 SSL

如果您想在測試環境中使用自行簽署的證書 (因為與有效管理中心簽署的證書相比,這種類型的證書更容易獲得),請參閱本節。

29.4.1 輸出證書管理中心

您可以使用 iManager 從 eDirectory 伺服器輸出證書管理中心 (CA),以產生自行簽署的證書。

  1. 使用 eDirectory 管理員的使用者名稱和密碼登入 iManager。

  2. 按一下「管理」 > 「修改物件」

  3. 在安全性容器中,瀏覽至名為網路樹名稱 CA.Security 的 CA 物件。例如 IDMTESTTREE CA.Security

  4. 按一下「確定」

  5. 按一下證書 > 自行簽署的證書

  6. 選取要使用的自行簽署證書。

    範例︰自行簽署的證書 RSA

    1. 核取自行簽署的證書 RSA

    2. 按一下驗證

  7. 按一下「輸出」

  8. 清除輸出私密金鑰

  9. 按一下輸出格式 > DER

  10. 按一下「下一步」

  11. 按一下儲存輸出的證書

  12. 按一下儲存檔案

    iManager 會將該檔案儲存為網路樹名稱 cert.der。例如 IDMTESTREE cert.der

  13. 按一下「關閉」

  14. 將證書複製到應用程式伺服器的組態目錄中 (cert.der)。

    例如,C:\NetIQ\idm\apps\tomcat\conf

  15. 若要輸入根證書,請完成以下步驟︰

    1. 在指令提示符處,使用以下指令導覽至應用程式伺服器的 conf 目錄︰

      keytool -import -trustcacerts -alias root -keystore <keystore file>.keystore -file exported_certificate_filename.der

      範例︰

      keytool -import -trustcacerts -alias root -keystore IDMkey.keystore -file cert.der

      附註:您必須指定 root 做為您的別名。

      輸入證書後,伺服器會顯示證書已新增至金鑰儲存區

    2. 建議您將根證書也輸入至 Java cacerts 位置。

      例如︰ 

      keytool -import -trustcacerts -alias root -keystore C:\NetIQ\idm\jre\lib\security\cacerts -file cert.der

    3. 使用以下指令驗證是否已將簽署的證書正確輸入到 conf 目錄中︰

      keytool -list -v -alias root -keystore your.jks

      例如,

      keytool -list -v -alias root -keystore IDMkey.jks

      伺服器會列出證書。

29.4.2 產生自行簽署的證書

在產生自行簽署的證書之前,請確保您有一個金鑰儲存區和證書要求檔案。如需詳細資訊,請參閱節 29.2, 建立金鑰儲存區和證書簽署要求

  1. 登入 iManager。

  2. 導覽至證書伺服器 > 發放證書

  3. 瀏覽至節 29.2, 建立金鑰儲存區和證書簽署要求步驟 7 中建立的 .csr 檔案。

    範例︰IDMcertrequest.csr

  4. 按兩次「下一步」

  5. 對於證書類型,請按一下未指定

  6. 按兩次「下一步」

    iManager 會將檔案儲存為 csr_request_name.der。範例︰IDMcertrequest.der

  7. 將證書複製到應用程式伺服器的組態目錄中 (IDMcertrequest.der) 。

    例如,C:\NetIQ\idm\apps\tomcat\conf

  8. 若要輸入產生的自行簽署證書,請完成以下步驟︰

    1. 在指令提示符處,使用以下指令導覽至應用程式伺服器的 conf 目錄︰

      keytool -import -alias keystore_name -keystore <keystore_file> -file <signed_certificate_filename>.der

      範例︰

      keytool -import -alias IDMkey -keystore IDMkey.keystore -file IDMcertrequest.der

      附註:必須指定金鑰儲存區名稱做為別名。

      輸入證書後,伺服器會顯示證書已新增至金鑰儲存區

    2. 建議您將自行簽署的證書也輸入至 Java cacerts 位置。

      例如︰ 

      keytool -import -alias IDMkey -keystore 
C:\NetIQ\idm\jre\lib\security\cacerts -file IDMcertrequest.der

    3. 使用以下指令驗證是否已將簽署的證書正確輸入到 conf 目錄中︰

      keytool -list -v -alias keystore_name -keystore your.jks

      例如,

      keytool -list -v -alias IDMkey -keystore IDMkey.jks

      伺服器會列出證書。

  9. 更新應用程式伺服器的 SSL 設定。如需詳細資訊,請參閱節 29.6, 更新應用程式伺服器的 SSL 設定

  10. 在組態公用程式中更新 SSL 設定。如需詳細資訊,請參閱節 29.7, 在組態公用程式中更新 SSL 設定

  11. 更新 Self Service Password Reset 的 SSL 設定。如需詳細資訊,請參閱節 29.8, 更新 Self Service Password Reset 的 SSL 設定

  12. 重新啟動 Tomcat。