您可以建立並輸出自行簽署的伺服器證書,以確保在 Sentinel 與 Identity Manager 元件之間進行安全通訊。請使用有效證書管理中心核發的已簽署證書。
若要建立新證書,請完成以下步驟:
登入 iManager。
按一下 NetIQ Certificate Server > 建立伺服器證書。
選取相應的伺服器。
指定伺服器的綽號。
接受其餘的證書預設值。
若要將伺服器證書輸出為 .pfx 格式,請完成以下步驟︰
在 iManager 中,選取目錄管理 > 修改物件。
瀏覽並選取 Key Material Object (KMO) 物件。
按一下證書 > 輸出。
指定密碼。
將伺服器證書儲存為 PKCS#12。例如,certificate.pfx。
使用以下指令將所輸出證書中的私密金鑰擷取到 dxipkey.pem。
openssl pkcs12 -in certificate.pfx -nocerts -out dxipkey.pem –nodes
將證書擷取到 dxicert.pem 檔案。
openssl pkcs12 -in certificate.pfx -nokeys -out dxicert.pem
若要將步驟 1 中建立的 eDirectory 伺服器 CA 證書輸出為 Base64 格式,請完成以下步驟︰
在 iManager 中,導覽至角色與任務 > NetIQ 證書存取 > 使用者證書。
瀏覽並選取建立的證書。
按一下「輸出」。
從下拉式功能表中選取 OU=organizationCA.O=TREENAME 做為 CA 證書。
從下拉式功能表中選取 BASE64 > 輸出格式。
按下一步,然後儲存該證書。例如,cacert.b64。
使用以下指令將 CA 證書輸出到金鑰儲存區︰
keytool -import -alias <別名> -file <b64 檔案> -keystore <金鑰儲存區檔案> –noprompt
例如,
keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt
若要將證書輸入到稽核連接器的可信證書儲存區,請完成以下步驟︰
以管理員身分登入 Sentinel 主要介面。
在主要 ESM 顯示螢幕中,找到稽核伺服器。
以滑鼠右鍵按一下稽核伺服器,然後按一下編輯。
在「安全性」索引標籤中,選取嚴格。
附註:該選項預設設定為使用開放 (不安全) 模式,以允許初始連接。但是,當您在生產環境中使用它時,請務必將模式設定為嚴格。
按一下輸入,然後導覽至您在步驟 6 中建立的證書。例如,idmkeystore.ks。
依次按一下開啟和儲存。
重新啟動稽核伺服器。
依據您的元件,將步驟 3 和步驟 4 中建立的私密金鑰與證書分別複製到以下位置︰
元件 |
Windows 路徑 |
---|---|
Identity Manager 引擎 |
C:\NetIQ\idm\NDS\DIBFiles |
遠端載入器 |
遠端載入器安裝目錄︰ C:\NetIQ\idm\RemoteLoader 或 C:\NetIQ\idm\RemoteLoader\64bit 或 C:\NetIQ\idm\RemoteLoader\32bit |
.NET 遠端載入器 |
C:\NetIQ\idm\RemoteLoader.NET |
擴送代理程式 |
C:\NetIQ\idm\FanoutAgent |
重新啟動 Identity Manager 服務。
若要建立新證書,請完成以下步驟:
登入 iManager。
按一下 NetIQ 證書伺服器 > 建立使用者證書。
選取相應的使用者。
為使用者指定綽號。
在建立方法中選取自訂。
接受其餘的證書預設值。
按下一步。
在自訂延伸中選取新增 DER 編碼的延伸。
瀏覽到 \products\UserApplication\ext.der 自訂延伸。
(選擇性) 指定電子郵件地址。
檢閱證書參數,然後按一下完成。
若要輸出使用者證書,請完成以下步驟︰
按一下 NetIQ 證書存取 > 使用者證書。
選取在步驟 1 中輸入的使用者證書。
選取有效的使用者證書,然後按一下輸出。
指定密碼。
將使用者證書儲存為 PKCS12。例如,certificate.pfx。
使用以下指令將所輸出證書中的私密金鑰擷取到 key.pem 檔案。
openssl pkcs12 -in certificate.pfx -nocerts -out key.pem –nodes
將證書擷取到 cert.pem 檔案。
openssl pkcs12 -in certificate.pfx -nokeys -out cert.pem
停止使用者應用程式。
將私密金鑰和證書新增至 configupdate 公用程式。
開啟 configupdate 公用程式。
按一下顯示進階選項。
在 NetIQ Sentinel 數位簽名證書欄位中,複製 cert.pem。
在 NetIQ Sentinel 數位簽名私密金鑰欄位中,導覽至私密金鑰 (key.pem) 的擷取位置,然後輸入金鑰。
儲存在 configupdate 公用程式中所做的變更。
重新啟動使用者應用程式。
若要將步驟 1 中建立的 eDirectory 伺服器 CA 證書輸出為 Base64 格式,請完成以下步驟︰
在 iManager 中,導覽至角色與任務 > NetIQ 證書存取 > 使用者證書。
選取建立的證書。
按一下輸出並清除「輸出私密金鑰」核取方塊。
從下拉式功能表中選取 BASE64 > 輸出格式。
按下一步,然後儲存該證書。例如,cacert.b64。
使用以下指令將 CA 證書輸出到金鑰儲存區︰
keytool -import -alias <別名> -file cacert.b64 -keystore <金鑰儲存區檔案> –noprompt
例如,
keytool -import -alias trustedroot -file cacert.b64 -keystore idmKeystore.ks –noprompt
若要將證書輸入到稽核連接器的可信證書儲存區,請完成以下步驟︰
以管理員身分登入 Sentinel 主要介面。
在主要 ESM 顯示螢幕中,找到稽核伺服器。
以滑鼠右鍵按一下稽核伺服器,然後按一下編輯。
在安全性索引標籤中,選取嚴格。
附註:該選項預設設定為使用開放 (不安全) 模式,以允許初始連接。但是,當您在生產環境中使用它時,請務必將模式設定為嚴格。
按一下輸入,然後導覽至您在步驟 9 中建立的證書。例如,idmKeystore.ks。
依次按一下開啟和儲存。
重新啟動稽核伺服器。
重新啟動使用者應用程式。