La autenticación a un servidor de etapa intermedia desde un Agente de gestión de escritorios se basa en un mecanismo de respuesta a desafíos. Cuando un servidor de etapa intermedia desafía a un agente para la autenticación, envía un certificado X.509. El agente verifica la integridad y la confianza del certificado y se intercambian los secretos mediante técnicas de clave privada y clave pública y de cifrado de clave de sesión.
Durante la instalación, se instala un certificado NetIdentity en el servidor de etapa intermedia. En NetWare, este certificado lo firma la autoridad certificadora (CA) del árbol al que pertenece el servidor. En Windows 2000, éste es un certificado de firma automática ficticio. Estos certificados, a pesar de ser criptográficamente válidos, no los firman autoridades raíz de confianza y no se debería confiar en ellos fuera de un entorno controlado. Por defecto, la instalación del Agente de gestión de escritorios acepta dichos certificados firmados automáticamente pero esto es un parámetro de instalación configurable. Cuando se utilizan fuera de una red controlada, los servidores de etapa intermedia deben configurarse con un certificado firmado por una autoridad certificadora raíz de confianza. También se deben configurar para aplicar la comprobación de confianza estricta.
Si ya existe un certificado SSL válido (es decir, uno firmado por una autoridad raíz de confianza) para el servidor, el proceso de autenticación NetIdentity puede utilizar el mismo certificado.
Si el servidor es NetWare, realice una nota del nombre par clave del certificado SSL (éste es el nombre del objeto de certificado como aparece visible en ConsoleOne). Para un servidor Windows 2000, haga un nota del nombre descriptivo del certificado.
Mediante un navegador, active la página NSAdmin para el servidor de etapa intermedia (http://ip-address/oneNet/nsadmin).
En la página de configuración General, defina el valor del nombre de certificado al nombre de Paso 1.
Envíe el cambio.
Reinicie el servidor de etapa intermedia.
Si un certificado SSL válido no está presente para el servidor, tiene que configurarse para el mismo un certificado X.509 válido (es decir, un certificado firmado por una autoridad certificadora raíz de confianza).
Obtenga un certificado firmado por una autoridad certificadora raíz de confianza. Siga los pasos descritos en Generación de un certificado firmando una petición y Instalación de la autoridad certificadora raíz en el servidor de etapa intermedia para la plataforma adecuada.
Si el nombre par clave o el nombre descriptivo (dependiendo de la plataforma) es diferente de "NetIdentity" configure el servidor de etapa intermedia con el nombre pertinente. Consulte Paso 1 mediante Paso 4 en el procedimiento anterior.
Reinicie el servidor de etapa intermedia.
NOTA: En cualquier caso, si el certificado lo firmó una autoridad certificadora que no se encuentra en la lista de autoridades certificadoras raíz de confianza, se debe importar el certificado de firma automática de la autoridad certificadora en cada estación de trabajo. Para obtener más información, consulte Importación de un certificado en la estación de trabajo con Windows.
Después de que el servidor de etapa intermedia se haya configurado con un certificado firmado por una autoridad certificadora raíz de confianza, los agentes de gestión de escritorios se pueden configurar para aplicar la comprobación de confianza estricta para certificados de NetIdentity. Modifique la configuración de clave de registro siguiente:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
Por defecto, el valor de confianza estricta es 0 (cero). La ausencia del valor o la configuración del mismo a 0x0 (cero) permite que se acepten todos los certificados. La configuración a 0x1 configura los agentes de gestión de escritorios para que rechacen certificados de los que no se puede verificar la confianza.