Die von einem Desktop Management-Agenten ausgeführte Beglaubigung bei einem Middle Tier-Server basiert auf einem Abfrage-Antwort-Mechanismus. Wenn ein Middle Tier-Server einen Agenten auffordert, die Beglaubigung auszuführen, wird ein X.509-Zertifikat gesendet. Der Agent überprüft die Integrität und Vertrauenswürdigkeit des Zertifikats. Die vertraulichen Informationen werden unter Verwendung der Verschlüsselungstechniken von öffentlichen Schlüsseln, privaten Schlüsseln und Sitzungsschlüsseln ausgetauscht.
Während der Installation wird ein NetIdentity-Zertifikat auf dem Middle Tier-Server installiert. Unter Linux wird dieses Zertifikat von der Zertifizierungsstelle des Baums signiert, dem der Server angehört. Das Zertifikat wird, obwohl es kryptografisch gültig ist, nicht von verbürgten Stamm-Zertifizierungsstellen signiert. Ihm sollte außerhalb einer kontrollierten Umgebung keine Vertrauensstellung eingeräumt werden. Standardmäßig akzeptiert die Installation des Desktop Management-Agenten selbstsignierte Zertifikate. Dieser Installationsparameter ist jedoch konfigurierbar. Wenn sich Middle Tier-Server außerhalb eines kontrollierten Netzwerks befinden, müssen diese mit einem Zertifikat konfiguriert sein, das von einer verbürgten Stamm-Zertifizierungsstelle signiert ist. Zudem müssen sie so konfiguriert sein, dass eine strikte Überprüfung der Vertrauensstellung erzwungen wird.
Wenn für den Server bereits ein gültiges (und somit von einer verbürgten Stamm-Zertifizierungsstelle signiertes) SSL-Zertifikat vorhanden ist, kann der Prozess für die Beglaubigung von NetIdentity das gleiche Zertifikat verwenden.
Wenn der Server ein Linux-Server ist, notieren Sie sich den Namen des Schlüsselpaars für das SSL-Zertifikat (der in ConsoleOne angezeigte Name des Zertifikat-Objekts).
Rufen Sie in einem Browser die NSAdmin-Seite für den Middle Tier-Server auf (http://ip_address/oneNet/nsadmin).
Legen Sie auf der Seite für die allgemeine Konfiguration den Wert für den Namen des Zertifikats auf den Namen von Schritt 1 fest.
Senden Sie die Änderung.
Starten Sie den Middle Tier-Server neu.
Wenn kein gültiges SSL-Zertifikat für den Server vorhanden ist, muss ein gültiges (und somit von einer verbürgten Stamm-Zertifizierungsstelle signiertes) X.509-Zertifikat für den Server konfiguriert werden.
Beziehen Sie ein Zertifikat, das von einer verbürgten Stamm-Zertifizierungsstelle signiert wurde. Führen Sie die Schritte aus, die unter Anfrage zum Signieren eines Zertifikats erstellen und Stamm-Zertifizierungsstelle auf dem Middle Tier-Server installieren für die jeweilige Plattform beschrieben werden.
Wenn sich der Name des Schlüsselpaars oder der angezeigte Name (abhängig von der Plattform) von “NetIdentity” unterscheidet, konfigurieren Sie den Middle Tier-Server mit dem entsprechenden Namen. Weitere Informationen hierzu finden Sie weiter oben in Schritt 1 bis Schritt 4.
Starten Sie den Middle Tier-Server neu.
HINWEIS:Wenn das Zertifikat von einer Zertifizierungsstelle signiert wurde, die sich nicht in der Liste der verbürgten Stamm-Zertifizierungsstellen befindet, muss das selbstsignierte Zertifikat der Zertifizierungsstelle auf jeder Arbeitsstation importiert werden. Weitere Informationen hierzu finden Sie in Importieren eines Zertifikats auf der Windows-Arbeitsstation.
Nachdem der Middle Tier-Server mit einem Zertifikat konfiguriert wurde, das von einer verbürgten Stamm-Zertifizierungsstelle signiert wurde, können Desktop Management-Agenten so konfiguriert werden, dass sie die strikte Überprüfung der Vertrauensstellung für NetIdentity-Zertifikate erzwingen. Ändern Sie folgende Registrierungsschlüssel-Einstellung:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
Standardmäßig ist der Wert für die strikte Vertrauensstellung 0 (Null). Wenn der Wert nicht vorhanden ist oder die Einstellung 0x0 (Null) festgelegt wird, werden alle Zertifikate akzeptiert. Durch die Einstellung 0x1 werden die Desktop Management-Agenten so konfiguriert, dass sie Zertifikate ablehnen, deren Vertrauensstellung nicht vollständig überprüft werden kann.