A autenticação para um Servidor de Camada Intermediária do ZfD a partir de um Agente de Gerenciamento do ZfD é baseada em um mecanismo de resposta à solicitação. Quando um Servidor de Camada Intermediária do ZfD solicita autenticação a um agente, ele envia um certificado X.509. O agente verifica a integridade e a confiabilidade do certificado; em seguida, segredos são trocados através de técnicas de criptografia de chave pública/chave privada e chave de sessão.
Durante a instalação, um certificado NetIdentity é instalado no Servidor de Camada Intermediária do ZfD. No NetWare, esse certificado é autenticado pela CA da árvore à qual o servidor pertence. No Windows 2000, esse certificado é fictício e autenticado automaticamente. Esses certificados, embora criptograficamente válidos, não são autenticados por autoridades de raiz confiável e não devem ser confiados fora de um ambiente controlado. Por padrão, a instalação do Agente de Gerenciamento do ZfD aceita esses certificados autenticados automaticamente, mas isso é um parâmetro de instalação configurável. Quando distribuídos fora de uma rede controlada, Servidores de Camada Intermediária do ZfD devem ser configurados com um certificado autenticado por uma autoridade de Certificado de Raiz confiável. Esses servidores também devem ser configurados para aplicar verificação de confiança restrita.
Se um certificado do SSL válido (isto é, um certificado autenticado por uma autoridade de raiz confiável) já existir para um servidor, o processo de autenticação do NetIdentity poderá usar o mesmo certificado.
Se o servidor for NetWare, anote o nome do par de chaves do certificado do SSL (ou seja, o nome do objeto Certificado da forma como é exibido no ConsoleOne). Se o servidor for Windows 2000, anote o nome amigável do certificado.
Com um browser, exiba a página NSAdmin do Servidor de Camada Intermediária do ZfD (http://endereço ip/oneNet/nsadmin).
Na página de configurações Geral, defina o valor do Nome do Certificado como o nome mostrado na Passo 1.
Submeta a mudança.
Reinicie o Servidor de Camada Intermediária do ZfD.
Se não houver um certificado do SSL válido, um certificado X.509 válido (isto é, um certificado autenticado por uma CA de raiz confiável) precisará ser configurado para o servidor.
Obtenha um certificado autenticada por uma CA de raiz confiável. Siga as etapas descritas em Gerando uma solicitação de autenticação de certificado e em Instalando a CA de Raiz no Servidor de Camada Intermediária do ZfD para obter a plataforma apropriada.
Se o nome do par de chaves ou o nome amigável (dependendo da plataforma) for diferente do "NetIdentity", configure o Servidor de Camada Intermediária do ZfD com o nome correto. Consulte a Passo 1 à Passo 4 no procedimento acima.
Reinicie o Servidor de Camada Intermediária do ZfD.
NOTA: Em ambos os casos, se o certificado tiver sido autenticado por uma CA que não esteja na lista de CAs de raiz confiável, o certificado auto-autenticado da CA precisará ser importado em cada estação de trabalho. Para obter mais informações, consulte Instalando um certificado na estação de trabalho Windows .
Depois que o Servidor de Camada Intermediária do ZfD tiver sido configurado com um certificado autenticado por uma CA de raiz confiável, os Agentes de Gerenciamento do ZfD poderão ser configurados para aplicar a verificação de confiança restrita a certificados NetIdentity. Modifique a seguinte configuração de chave de registro:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
Por padrão, o valor de Strict Trust é 0 (zero). Se o valor não estiver especificado ou se for configurado como 0x0 (zero), todos os certificados serão aceitos. Se o valor for configurado como 0x1, os Agentes de Gerenciamento do ZfD rejeitarão os certificados cuja confiabilidade não possa ser totalmente verificada.