Novell Certificate Server sluzy do tworzenia, wydawania i zarzadzania certyfikatów cyfrowych, poprzez utworzenie obiektu kontenera Zabezpieczen oraz obiektu organizacyjnego organu certyfikacji (CA). Dzieki obiektowi CA mozliwa jest bezpieczna transmisja danych. Jest on takze wymagany przez produkty zwiazane z WWW, np. NetWare Web Manager lub NetWare Enterprise Web Server. Pierwszy serwer NDS automatycznie utworzy i bedzie fizycznie przechowywal kontener Zabezpieczenia oraz obiekt CA dla calego drzewa NDS. Oba obiekty sa tworzone na szczycie drzewa NDS i tam musza pozostac.
W drzewie NDS moze istniec tylko jeden obiekt CA. Obiektu CA utworzonego na jednym serwerze nie wolno przenosic na inny. Usuniecie lub odtworzenie go powoduje uniewaznienie wszystkich certyfikatów skojarzonych z dawnym CA.
WAŻNE: Nalezy sie upewnic, ze pierwszy z instalowanych serwerów NDS jest tym serwerem, który w zamierzeniu ma na stale miescic obiekt CA, oraz ze bedzie on niezawodnym, dostepnym i stalym elementem sieci.
Jesli instalowany serwer nie jest pierwszym serwerem NDS w danej sieci, instalator odszukuje i tworzy odnosniki do serwera NDS przechowujacego obiekt CA. Program instalacyjny dokonuje oceny kontenera Zabezpieczenia i tworzy obiekt certyfikatu serwera.
Produkty zwiazane z WWW nie beda dzialac, jesli w danej sieci nie ma obiektu CA.
W systemie Linux, Solaris lub Tru64 administrator musi recznie stworzyc obiekt CA oraz obiekt certyfikatu serwera.
W sklad produktu NDS eDirectory wchodzi oprogramowanie uslug kryptograficznych klucza publicznego (PKCS) zawierajace Novell Certificate Server, który udostepnia uslugi infrastruktury klucza publicznego (PKI), miedzynarodowa infrastrukture kryptograficzna firmy Novell (NICI) oraz serwer SAS-SSL.
Nastepujace sekcje zawieraja informacje na temat przeprowadzania bezpiecznych operacji NDS eDirectory:
Aby uzyskac informacje na temat uzywania zewnetrznego organu certyfikacji, patrz Novell Certificate Server - Podrecznik administratora.
Nastepujace warunki wskazuja na prawidlowe zainstalowanie i inicjalizacje modulu NICI:
Jezeli powyzsze warunki sa spelnione, nalezy zainicjowac modul NICI na serwerze, tak jak opisano w Inicjalizacja modulu NICI na serwerze.
Zatrzymaj serwer NDS.
Skopiuj plik .nfk dostarczany wraz z pakietem do katalogu /var/nds/nicifk. Uruchom serwer NDS.
Aby uruchomic uslugi PKI, wprowadz polecenie npki -1.
W programie ConsoleOne kliknij prawym przyciskiem myszy obiekt zabezpieczen na poziomie obiektu drzewa > kliknij Nowy > Obiekt.
Wybierz NDSPKI: Organ certyfikacji > kliknij OK > postepuj zgodnie z wyswietlanymi instrukcjami.
Wybierz serwer docelowy > wprowadz nazwe obiektu NDS.
W polu Metoda utworzenia, wybierz Niestandardowa > kliknij Dalej.
Wybierz rozmiar klucza > dla pozostalych opcji pozostaw wartosci domyslne > kliknij Dalej.
W polu opcji Wybierz podstawowe ograniczenia certyfikatu pozostaw wartosci domyslne > kliknij Dalej.
W polu Okresl parametry certyfikatu, dla opcji Okres waznosci wybierz Podaj daty.
Dla opcji Data poczatkowa podaj date o kilka dni wczesniejsza (3-5) od daty systemowej > dla wszystkich pozostalych opcji pozostaw wartosci domyslne.
Przy pomocy programu ConsoleOne, prawym przyciskiem myszy kliknij kontener w którym znajduje sie obiekt serwera LDAP > kliknij Nowy > kliknij Obiekt.
Wybierz NDSPKI: Skladniki klucza > OK.
Wybierz serwer docelowy > wprowadz nazwe > w polu Metoda utworzenia, wybierz Niestandardowa > kliknij Dalej.
Dla opcji Okresl organ certyfikacji który podpisze certyfikat, uzyj wartosci domyslnych > kliknij Dalej.
W polu Okresl rozmiar klucza RSA oraz sposób wykorzystania klucza, wybierz wlasciwy rozmiar klucza > dla pozostalych opcji uzyj wartosci domyslnych > kliknij Dalej.
W polu Okresl parametry certyfikatu, dla opcji Okres waznosci wybierz Podaj daty.
Dla opcji Data poczatkowa podaj date o kilka dni wczesniejsza (3-5) od daty systemowej > dla wszystkich pozostalych opcji pozostaw wartosci domyslne > kliknij Dalej.
W polu Podaj certyfikat obiektu powierniczego, który ma zostac powiazany z certyfikatem serwera, uzyj wartosci domyslnych > kliknij Dalej.
Aby utworzyc skladniki klucza, kliknij Zakoncz.
Na stronie Wlasciwosci ogólne wybierz certyfikat SSL (KMO) > kliknij Odswiez serwer NLDAP teraz > kliknij Zamknij.
Dwa razy kliknij obiekt KMO > przejdz na strone Wlasciwosci certyfikatów > wybierz Certyfikat glównego obiektu powierniczego (Trusted Root Certificate) > kliknij Eksportuj > wybierz Plik w binarnym formacie DER > kliknij OK.
Dolaczaj ten plik do wszystkich operacji wykonywanych z wiersza polecen, ustanawiajacych bezpieczne polaczenia z NDS.
Aby bezpiecznie wykonywac operacje zwiazane z narzedziami LDAP, nalezy na hoscie w systemach Linux, Solaris lub Tru64 uruchomic demona NICI. Aby uruchomic lub zatrzymac demona potrzebne sa uprawnienia uzytkownika glównego (root). Nalezy równiez sprawdzic czy na systemie hosta uruchomiony jest tylko jeden egzemplarz demona.
Wydaj nastepujace polecenie, aby uruchomic demona NICI:
Wprowadz nastepujace polecenie aby zatrzymac demona NICI: