Приведенный ниже сценарий предназначен для случая, когда нежелательно, чтобы личный ключ, созданный на сервере, передавался в другие системы по сети или на дискетах. В данном сценарии каждый сервер настраивается по-отдельности. Описанную процедуру необходимо выполнить на каждом сервере.
Перед реализацией данного сценария настройте функцию CA. Инструкции по выполнению этой задачи приведены в разделе Применение готовых файлов наборов ключей.
Выполните следующие действия:
Войдите в систему сервера от имени пользователя root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.
Выберите Среда управления --> имя хоста --> Функции защиты --> Защита сервера.
В списке задач из категории Защита сервера выберите пункт Создать личные ключи и запросы на получение сертификатов для этого и других серверов. Укажите следующую информацию:
После нажатия кнопки OK для сервера будет создан файл набора личных ключей и запрос на получение сертификата.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/smgenkeycr.
Передайте файл с запросом на получение сертификата функции CA. Этот запрос не содержит конфиденциальную информацию. Однако при передаче запроса должна быть обеспечена целостность и возможность его идентификации.
Скопируйте файл с запросом на получение сертификата с сервера в каталог компьютера, на котором установлена функция CA. Для того чтобы сэкономить время, рекомендуется скопировать запросы на получение сертификатов сразу для всех серверов. В этом случае CA подпишет сразу все сертификаты.
Войдите в систему, в которой установлена функция CA, от имени пользователя root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.
Выберите Среда управления --> имя хоста --> Функции защиты --> Функция выдачи сертификатов.
В списке задач из категории Функция выдачи сертификатов выберите Подписать запросы на получение сертификатов. Укажите следующую информацию:
После нажатия кнопки OK для всех выбранных серверов будет создан файл сертификата. При этом он будет расположен в том же каталоге, что и запрос на получение сертификата.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/smsigncert.
Отправьте сертификат, подписанный CA, на сервер. Скопируйте его в каталог, содержащий запрос на получение сертификата и файл с личным ключом сервера, созданный на шаге 1.
После этого выберите в списке задач из категории Защита сервера опцию Импортировать подписанные сертификаты.
Укажите следующую информацию:
После нажатия кнопки OK появится приглашение на ввод пароля, если файл с личным ключом сервера был зашифрован на шаге 1. Сертификат сервера будет импортирован в файл с личным ключом, а файл набора личных ключей будет создан в каталоге, содержащем запрос на получение сертификата и файл с личным ключом.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/smimpservercert.
В списке задач из категории Защита сервера выберите пункт Установить файл с набором личных ключей сервера. Нажмите кнопку Каталог и введите имя каталога, содержащего файл набора личных ключей сервера. Если этот файл зашифрован, появится приглашение на ввод пароля. Личный ключ сервера будет установлен в файле /var/websm/security/SM.privkr.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/sminstkey.
Скопируйте файл SM.pubkr из каталога, указанного на шаге 1, в каталог /usr/websm/codebase серверов и клиентов Web-администратора системы.
Примечание: Этот файл не содержит конфиденциальную информацию. Однако он определяет, какую функцию CA клиент считает надежной. Следовательно, в системе клиента необходимо ограничить доступ к этому файлу. В режиме аплета после получения данного файла от сервера клиент (и сам аплет) будет считать этот сервер надежным и разрешит ему передачу данных по соединению HTTPS.