您必須確保資料能夠在 Remote Loader 與 Identity Manager 引擎之間安全傳輸。NetIQ 建議使用輸送層安全性/安全通訊端層 (TLS/SSL) 通訊協定來通訊。若要支援 TLS/SSL 連接,您需要在金鑰儲存區檔案中建立相應的自行簽署證書。本節說明如何建立、輸出和儲存該證書。
附註:請在代管 Identity Manager 引擎與代管 Remote Loader 的伺服器上使用相同的 SSL 版本。如果伺服器上的 SSL 與 Remote Loader 上的 SSL 版本不相符,伺服器將會傳回 SSL3_GET_RECORD:錯誤的版本號碼錯誤訊息。此訊息僅用於警告目的,伺服器與 Remote Loader 之間的通訊並不會中斷。不過,該錯誤可能會造成困擾。
Remote Loader 會開啟伺服器通訊端,並監聽來自遠端介面 shim 的連接。遠端介面 shim 和 Remote Loader 會執行 SSL 信號交換,以建立安全通道。然後,遠端介面 shim 會向 Remote Loader 進行驗證。如果遠端介面 shim 驗證成功,Remote Loader 會向遠端介面 shim 進行驗證。僅在雙方都確認自己是與有授權之實體建立通訊時,才會發生同步化傳輸。
用於在驅動程式與 Identity Manager 引擎之間建立 SSL 連接的程序取決於驅動程式類型:
對於原生驅動程式 (例如 Active Directory 驅動程式),請指向 base64 編碼的證書。如需詳細資訊,請參閱節 18.1.2, 管理自行簽署的伺服器證書。
對於 Java 驅動程式,您必須建立金鑰儲存區。如需詳細資訊,請參閱節 18.1.3, 使用 SSL 連接時建立金鑰儲存區檔案。
附註:Remote Loader 允許在 Remote Loader 與 Identity Manager 伺服器上代管的遠端介面 shim 之間使用自定連接方法。若要設定自定連接模組,請參閱該模組隨附的文件中關於應該和允許在連接字串中指定何值的資訊。
您可以建立並輸出自行簽署的伺服器證書,以確保在 Remote Loader 與 Identity Manager 引擎之間進行安全通訊。您可以輸出新建立的證書。或者,如果 SSL 伺服器證書已經存在,並且您具有 SSL 證書方面的經驗,則可以使用現有的證書,而無需建立和使用新證書。當您想要使用原生驅動程式 (例如 Active Directory 驅動程式) 時,應該使用此程序。
附註:當伺服器加入網路樹時,eDirectory 會建立下列預設證書:
「保全插槽層 (SSL)」CertificateIP
「保全插槽層 (SSL)」CertificateDNS
登入 NetIQ iManager。
若要建立新證書,請完成以下步驟:
按一下 NetIQ Certificate Server > 建立伺服器證書。
選取擁有該證書的伺服器。
指定證書的綽號。例如 remotecert。
附註:NetIQ 建議不要在證書綽號中使用空格。例如,應使用 remotecert 而不使用 remote cert。
同時,請記下證書綽號。此綽號在驅動程式的遠端連接參數中將用做 KMO 名稱。
對於「建立」方法,使用標準預設值,然後按下一步。
檢閱「摘要」內容,按一下完成,然後按一下關閉。
若要輸出證書,請完成以下步驟:
在 iManager 中,按一下「eDirectory 管理 > 修改物件」。
瀏覽並選取「安全性」容器中的「證書權限」,然後按一下「確定」。
證書權限 (Certificate Authority,CA) 是以網路樹名稱 (Treename-CA.Security) 命名的。
在證書索引標籤中,從證書清單中選取自行簽署的證書。
按一下「輸出」。
在「輸出證書精靈」中,取消選取輸出私密金鑰。
選取 BASE64 做為輸出格式,然後按下一步。
附註:如果 Remote Loader 要在 Windows 2003 R2 SP1 32 位元伺服器上執行,證書必須採用 Base64 格式。如果您使用 DER 格式,Remote Loader 將無法連接到 Identity Manager 引擎。
按一下儲存輸出的證書,然後指定一個本地檔案系統中的位置。
按一下「儲存」,然後按一下「關閉」。
若要在 Java 驅動程式與 Identity Manager 引擎之間使用 SSL 連接,您必須建立一個金鑰儲存區。金鑰儲存區是包含加密金鑰和證書 (選擇性) 的 Java 檔案。如果要在 Remote Loader 與 Identity Manager 引擎之間使用 SSL,並且您使用的是 Java shim,那麼,您需要建立一個金鑰儲存區檔案。以下章節說明了如何建立金鑰儲存區檔案:
若要在平台上建立金鑰儲存區,可以在指令行輸入下列指令:
keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass
檔案名稱可以是任意名稱。例如 rdev_keystore。
在 Linux 環境中,請使用 create_keystore 檔案,這是一個會呼叫 Keytool 公用程式的外圍程序程序檔。該檔案已隨 rdxml 一起安裝,預設位於安裝目錄/dirxml/bin 目錄中。\dirxml\java_remoteloader 目錄下的 dirxml_jremote.tar.gz 檔案中也包含 create_keystore 檔案。
附註:在 UNIX 電腦上,如果使用自行簽署的證書建立金鑰儲存區,可以將該證書輸出為 Base64 或二進位 DER 格式。
在指令行輸入下列指令:
create_keystore self-signed_certificate_name keystorename
例如,輸入下列其中一項
create_keystore tree-root.b64 mystore create_keystore tree-root.der mystore
Create_keystore 程序檔會為金鑰儲存區密碼指定一個硬式編碼密碼「dirxml」。因為只有公用證書和公用金鑰儲存在金鑰儲存區中,所以這不是安全性風險。
在 Windows 電腦上,執行預設位於 c:\novell\remoteloader\jre\bin 目錄中的 Keytool 公用程式。