iManager 可以在無需任何使用者干涉的情況下,從後台建立安全 LDAP 連結。如果因某些原因 (例如,新的組織 CA ) 更新了 LDAP 伺服器的 SSL 證書,iManager 應使用驗證的連接自動取回新的證書,並將證書輸入其自身的 keystore 資料庫。
如果沒有正確執行此操作,為了強制讓 iManager 和 Tomcat 重新建立資料庫並再次獲取證書,您必須刪除 iManager 使用的私密 keyStore。
關閉 Tomcat。
刪除 TOMCAT_HOME\webapps\nps\WEB-INF\iMKS 檔案。
重新啟動 Tomcat。
如需重新啟動 Tomcat 的相關資訊,請參閱啟動和停止 Tomcat。
在瀏覽器中開啟 iManager 並重新登入到網路樹中,以自動獲取新的證書並重新建立資料庫儲存。
或者,您也可以使用 JDK 中可用的 keytool 證書管理公用程式,手動將所需的證書輸入 Tomcat 的 JVM 預設 keystore。建立安全的 SSL 連結時,iManager 會先嘗試 JVM 預設 keyStore,然後再使用 iManager 特定的 keyStore 資料庫。
以 DER 格式儲存 eDirectory 證書後,必須將託管根部證書輸入 iManager keystore。若要執行此操作,需要 JDK 才能使用 keytool。如果 JRE 與 iManager 一起安裝,您必須下載 JDK 才能使用 keytool。
附註:如需建立 .der 證書檔案的詳細資訊,請參閱《NetIQ Certificate Server 管理指南》中的「匯出可信的根或公用金鑰證書」。您可能想要輸出託管根部證書。
開始指令視窗。
變更為安裝 JDK 的 \bin 目錄。
例如,在 Windows 系統上,輸入以下指令:
cd j2sdk1.5.0_11\bin
使用 keytool,執行以下 keytool 指令 (平台特定),將證書輸入 keystore:
Linux
keytool -import -alias [alias_name] -file [full_path]/trustedrootcert.der -keystore [full_path]/jre/lib/security/cacerts
Windows
keytool -import -alias [alias_name] -file [full_path]\trustedrootcert.der -keystore [full_path]\jre\lib\security\cacerts
使用此證書的唯一名稱取代 alias_name,並確保包含 trustedrootcert.der 和 cacerts 的完整路徑。
指令中最後的路徑指定 keystore 位置。由於它基於 iManager 的安裝位置,所以系統不同,路徑也會有所不同。下列範例是 iManager 在 Windows 和 Linux 上的預設位置:
為 keystore 密碼輸入 changeit。
按一下「是」以託管此證書。
附註:每個要使用 iManager 存取的 eDirectory 網路樹都必須重複此步驟。若已將 LDAP 設定為使用網路樹之「組織 CA」所簽署的證書,您必須輸入該證書的「託管根部」。舉例來說,若要將 LDAP 設定為使用經 VeriSign* 簽署的證書,則此為必要作業。