以下程序說明如何為分散式部署建立 SSL 證書:
執行以下指令設定 Java 路徑:
export PATH=/opt/netiq/common/jre/bin:$PATH
確定已在伺服器上設定 Java 路徑。例如:
export PATH=/opt/netiq/common/jre/bin/:$PATH
建立一個範例工作目錄。
mkdir -p /opt/certs
產生 PKCS 金鑰儲存區:
keytool -genkey -alias < alias_name > -keyalg RSA -keystore <absolute path of keystore > -validity 3650 -keysize 1024 -dname "CN=<Subject Alternate Name>" -keypass <keypass> -storepass <storepass>
產生 CSR (證書簽署申請):
keytool -certreq -v -alias < alias_name > -file < name of the csr file > -keypass < keypass > -keystore < absolute path of the keystore > -storepass < storepass >
產生自行簽署的證書:
以管理員身分登入 iManager。
導覽至角色和任務 > NetIQ 證書伺服器 > 核發證書。
瀏覽至在步驟 4 中建立的 .csr 檔案。例如:ua.csr。
按下一步。
指定金鑰使用方法,然後按下一步。
對於證書類型,請選取未指定。
按下一步。
指定證書的有效期,然後按下一步。
選取二進位 DER 格式的檔案選項圓鈕。
按下一步。
按一下完成。
下載證書並將其複製到 /data 目錄。
輸出 .der 格式的根證書:
以管理員身分登入 iManager。
導覽至角色和任務 > NetIQ 證書存取 > 伺服器證書。
選取 SSL 證書 DNS 核取方塊並按一下輸出。
在證書下拉式清單中選取「組織 CA」。
在「輸出格式」下拉式清單中選取 DER。
按下一步。
下載證書並將其複製到 /data 目錄。
將證書輸入至前面所述的 PKCS 金鑰儲存區。
keytool -import -trustcacerts -alias root -keystore <name of the keystore> -file <root certificate > -storepass <password> -noprompt
例如:
keytool -import -alias <alias name> -keystore <name of the keystore> -file <self-signed certificate> -storepass <password> -noprompt
針對 osp, userapp 和 reporting (如果它們在不同的機器中使用) 重複上述程序。