从 Desktop Management 代理鉴定到中间层服务器基于挑战响应机制。当中间层服务器挑战鉴定代理时,将发送 X.509 证书。代理验证证书的完整性和可信度,并使用公钥/私钥和会话密钥加密技术交换密码。
在安装时,将 NetIdentity 证书安装到中间层服务器上。在 NetWare 中,此证书由服务器所属树的认证机构 (CA) 签订。在 Windows 2000 中,这是自定的虚拟证书。这些证书尽管加密有效,但是不由受信根机构签名,并不为外部受控的环境下所信任。默认情况下,Desktop Management 代理安装接受此自定证书,但是这是可配置的安装参数。当部署外部受控网络时,必须由可信的根认证机构配置带证书的中间层服务器。也必须将其配置为实施严格的信任校验。
如果有效的 SSL 证书(即由可信的根机构签订)已存在于服务器上,NetIdentity 鉴定过程可使用相同的证书。
如果服务器在 NetWare 服务器中,注释 SSL 证书用键对名(即 ConsoleOne 中的证书对象名可见)。对于 Windows 2000 服务器,注意证书的友好名称。
使用浏览器,达到中间层服务器的 NSAdmin 页 (http://ip-address/oneNet/nsadmin)。
在“一般配置”页中,将证书名称的值设置为 步骤 1的名称。
提交更改。
重启动中间层服务器。
如果对服务器不存在有效的 SSL 证书,需要为服务器配置有效的 X.509 证书(即可信根 CA 签订的证书)。
通过可信根 CA 签订证书。执行适当平台中生成证书符号请求和将根 CA 安装到中间层服务器上列出的步骤。
如果键对名称或友好名称(取决于平台)不同于“NetIdentity”,请配置中间层服务器适当的名称。参见以上过程中的 步骤 1 至 步骤 4。
重启动中间层服务器。
注意: 另外,如果证书由不在可信根 CA 列表中的 CA 签订,则必须在每个工作站上导入自我签名的证书。有关更多信息,请参见导入 Windows 工作站上的证书。
在为中间层配置由可信根 CA 签订的证书后,可配置 Desktop Management 代理,以对 NetIdentity 证书实施严格的信任校验。修改以下注册表键设置:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity
"Strict Trust"= dword:0x00000001
默认情况下,严格信任值为 0。值的存在性,或将其设置为 0x0,以便接受所有证书。将其设置为 0x1,配置 Desktop Management 代理拒绝不能完全校验其可信的证书。