使用以下几节中的信息帮助您在安装 OES 2 时设置证书管理。
若要设置服务器以使 HTTPS 服务使用 eDirectory 证书,则必须在 eDirectory 初始安装期间指定“使 HTTP 服务使用 eDirectory 证书”选项。
这将在服务器上安装 eDirectory 密钥和证书,但它不会将服务器配置为在证书过期,或出现其它情况时自动进行替换。自动维护要求按照下列步骤启用服务器自助配置信息提供:
在所配置的服务器上,在“iManager”>“职能和任务”中,单击“Novell 证书访问”>“配置证书授权者”选项。
单击“启用服务器自助配置信息提供”
这将会在满足PKI 运行状况检查中的条件时自动替换证书。
重要说明:如果您在 OES 2 树中启用服务器自助配置信息提供并且已创建了 CRL 配置对象,但尚未配置任何 CRL 分发点,那么 PKI 运行状况检查在每次运行时可能会替换默认证书。
为了避免这种情况,您可以
通过使用 iManager 的“配置证书授权者”任务创建一个或多个 CRL 分发点来完成配置 CA 的 CRL 功能。
或
删除所有 CRL 配置对象,例如 CN=One - Configuration.CN=CRL Container.CN=Security。
如果还希望在 CA 证书更改或过期时替换它,请单击“运行状况检查 - 在 CA 更改时强制默认证书创建/更新”选项。
默认情况下,由于 Internet Explorer 和 Mozilla Firefox* 浏览器不信任基于 eDirectory 的证书授权者,因此尝试与 OES 2 服务器建立安全连接经常会出现证书错误或警告。
通过将 eDirectory 树 CA 的自我签名证书导入浏览器中可消除这些错误。
按照您的网络需要,完成以下部分的说明。
启动 Novell iManager。
以 Admin 用户身份登录 eDirectory 树。
选择“职能和任务”菜单,然后单击“Novell 证书服务器”>“配置证书授权者”。
单击“证书”选项卡,然后选择自我签名证书。
单击“导出”。
取消选中“导出私用密钥”。
“导出格式”更改为 DER。
单击“下一步”。
单击“保存导出的证书”并将文件保存到本地磁盘,如有提示,请输入文件名和位置。
单击“关闭”>“确定”。
找到您刚才保存的文件。默认情况下,它一般位于桌面上。
根据您的浏览器的需要,完成以下部分的说明。
启动 Firefox。
单击“编辑”>“自选设置”>“高级”。
选择“加密”选项卡。
单击“查看证书”。
选择“授权”选项卡,然后单击“导入”。
浏览到在导出 CA 的自我签名证书中下载的证书文件,然后单击“打开”。
选择“信任此 CA 以标识万维网站点”,然后单击“确定”>“确定”>“关闭”。
Firefox 将立即信任来自树中服务器的证书。
启动 Firefox。
单击“工具”>“选项”>“高级”。
选择“安全性”选项卡。
单击“查看证书”。
选择“授权”选项卡,然后单击“导入”。
浏览到在导出 CA 的自我签名证书中下载的证书文件,然后单击“打开”。
选择“信任此 CA 以标识万维网站点”,然后单击“确定”>“确定”>“确定”。
Firefox 将立即信任来自树中服务器的证书。
启动 Internet Explorer。
单击“工具”>“Internet 选项”。
选择“内容”选项卡。
单击“证书”。
单击“导入”。
“证书导入向导”启动。
单击“下一步”。
单击“浏览”,
在“文件类型”下拉列表中,选择“所有文件(*.*)”,然后浏览到您在导出 CA 的自我签名证书中下载的文件,并单击“打开”。
单击“下一步”。
单击“下一步”。
选择默认值“基于证书类型自动选择证书存储区”。
单击“完成”>“是”>“确定”。
Internet Explorer 将立即信任来自树中服务器的证书。