29.5 在 Sentinel 與 Identity Manager 元件之間啟用 SSL

您可以建立並輸出自行簽署的伺服器證書,以確保在 Sentinel 與 Identity Manager 元件之間進行安全通訊。請使用有效證書管理中心核發的已簽署證書。

29.5.1 在 Sentinel 與 Identity Manager 引擎/遠端載入器之間啟用 SSL

  1. 若要建立新證書,請完成以下步驟:

    1. 登入 iManager。

    2. 按一下 NetIQ Certificate Server > 建立伺服器證書

    3. 選取相應的伺服器。

    4. 指定伺服器的綽號。

    5. 接受其餘的證書預設值。

  2. 若要將伺服器證書輸出為 .pfx 格式,請完成以下步驟︰

    1. 在 iManager 中,選取目錄管理 > 修改物件

    2. 瀏覽並選取 Key Material Object (KMO) 物件。

    3. 按一下證書 > 輸出

    4. 指定密碼。

    5. 將伺服器證書儲存為 PKCS#12。例如,certificate.pfx

  3. 使用以下指令將所輸出證書中的私密金鑰擷取到 dxipkey.pem

    openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes

  4. 將證書擷取到 dxicert.pem 檔案。

    openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem

  5. 若要將步驟 1 中建立的 eDirectory 伺服器 CA 證書輸出為 Base64 格式,請完成以下步驟︰

    1. 在 iManager 中,導覽至角色與任務 > NetIQ 證書存取 > 使用者證書

    2. 瀏覽並選取建立的證書。

    3. 按一下「輸出」

    4. 從下拉式功能表中選取 OU=organizationCA.O=TREENAME 做為 CA 證書

    5. 從下拉式功能表中選取 BASE64 > 輸出格式

    6. 下一步,然後儲存該證書。例如,cacert.b64

  6. 使用以下指令將 CA 證書輸出到金鑰儲存區︰

    keytool -import -alias <別名> -file <b64 檔案> -keystore <金鑰儲存區檔案> –noprompt

    例如,

    keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

  7. 若要將證書輸入到稽核連接器的可信證書儲存區,請完成以下步驟︰

    1. 以管理員身分登入 Sentinel 主要介面。

    2. 在主要 ESM 顯示螢幕中,找到稽核伺服器。

    3. 以滑鼠右鍵按一下稽核伺服器,然後按一下編輯

    4. 在「安全性」索引標籤中,選取嚴格

      附註:該選項預設設定為使用開放 (不安全) 模式,以允許初始連接。但是,當您在生產環境中使用它時,請務必將模式設定為嚴格

    5. 按一下輸入,然後導覽至您在步驟 6 中建立的證書。例如,idmkeystore.ks

    6. 依次按一下開啟儲存

    7. 重新啟動稽核伺服器。

  8. 依據您的元件,將步驟 3步驟 4 中建立的私密金鑰與證書分別複製到以下位置︰

    元件

    Windows 路徑

    Identity Manager 引擎

    C:\NetIQ\idm\NDS\DIBFiles

    遠端載入器

    遠端載入器安裝目錄︰

    C:\NetIQ\idm\RemoteLoader

    C:\NetIQ\idm\RemoteLoader\64bit

    C:\NetIQ\idm\RemoteLoader\32bit

    .NET 遠端載入器

    C:\NetIQ\idm\RemoteLoader.NET

    擴送代理程式

    C:\NetIQ\idm\FanoutAgent

  9. 重新啟動 Identity Manager 服務。

29.5.2 在 Sentinel 與使用者應用程式之間啟用 SSL

  1. 若要建立新證書,請完成以下步驟:

    1. 登入 iManager。

    2. 按一下 NetIQ 證書伺服器 > 建立使用者證書

    3. 選取相應的使用者。

    4. 為使用者指定綽號。

    5. 建立方法中選取自訂

    6. 接受其餘的證書預設值。

    7. 下一步

    8. 自訂延伸中選取新增 DER 編碼的延伸

    9. 瀏覽到 \products\UserApplication\ext.der 自訂延伸。

    10. (選擇性) 指定電子郵件地址。

    11. 檢閱證書參數,然後按一下完成

  2. 若要輸出使用者證書,請完成以下步驟︰

    1. 按一下 NetIQ 證書存取 > 使用者證書

    2. 選取在步驟 1 中輸入的使用者證書。

    3. 選取有效的使用者證書,然後按一下輸出

    4. 指定密碼。

    5. 將使用者證書儲存為 PKCS12。例如,certificate.pfx

  3. 使用以下指令將所輸出證書中的私密金鑰擷取到 key.pem 檔案。

    openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes

  4. 將證書擷取到 cert.pem 檔案。

    openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem

  5. 停止使用者應用程式。

  6. 將私密金鑰和證書新增至 configupdate 公用程式。

    1. 開啟 configupdate 公用程式。

    2. 按一下顯示進階選項

    3. NetIQ Sentinel 數位簽名證書欄位中,複製 cert.pem

    4. NetIQ Sentinel 數位簽名私密金鑰欄位中,導覽至私密金鑰 (key.pem) 的擷取位置,然後輸入金鑰。

    5. 儲存在 configupdate 公用程式中所做的變更。

  7. 重新啟動使用者應用程式。

  8. 若要將步驟 1 中建立的 eDirectory 伺服器 CA 證書輸出為 Base64 格式,請完成以下步驟︰

    1. 在 iManager 中,導覽至角色與任務 > NetIQ 證書存取 > 使用者證書

    2. 選取建立的證書。

    3. 按一下輸出並清除「輸出私密金鑰」核取方塊。

    4. 從下拉式功能表中選取 BASE64 > 輸出格式

    5. 下一步,然後儲存該證書。例如,cacert.b64

  9. 使用以下指令將 CA 證書輸出到金鑰儲存區︰

    keytool -import -alias <別名> -file cacert.b64 -keystore <金鑰儲存區檔案> –noprompt

    例如,

    keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt

  10. 若要將證書輸入到稽核連接器的可信證書儲存區,請完成以下步驟︰

    1. 以管理員身分登入 Sentinel 主要介面。

    2. 在主要 ESM 顯示螢幕中,找到稽核伺服器。

    3. 以滑鼠右鍵按一下稽核伺服器,然後按一下編輯

    4. 安全性索引標籤中,選取嚴格

      附註:該選項預設設定為使用開放 (不安全) 模式,以允許初始連接。但是,當您在生產環境中使用它時,請務必將模式設定為嚴格

    5. 按一下輸入,然後導覽至您在步驟 9 中建立的證書。例如,idmKeystore.ks

    6. 依次按一下開啟儲存

    7. 重新啟動稽核伺服器。

  11. 重新啟動使用者應用程式。