Этот сценарий предназначен для случая, когда вместо внутренней функции выдачи сертификатов Web-администратора системы требуется применить другую внутреннюю функцию CA, установленную в системе. В данном сценарии запросы на выдачу сертификатов будут подписаны другой CA.
Укажите полные имена хостов серверов Web-администратора системы. Вы можете по-очереди ввести эти имена в окне диалога, либо создать файл, содержащий список имен (каждое имя должно располагаться на отдельной строке).
Войдите в систему сервера с локального компьютера как пользователь root и запустите Web-администратор системы. Если Web-администратор системы будет запущен от имени другого пользователя, в удаленном приложении или в режиме аплета, то функции настройки защиты будут недоступны.
Выберите Среда управления --> имя-хоста --> Функции защиты --> Защита сервера.
В списке задач из категории Защита сервера выберите пункт Создать личные ключи и запросы на получение сертификатов для этого и других серверов. Укажите следующую информацию:
При нажатии кнопки OK для всех серверов будут созданы запросы на получение сертификатов и файлы личных ключей.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/smgenkeycr.
Передайте файлы с запросами на получение сертификатов функции CA. Эти запросы не содержат конфиденциальную информацию. Однако при передаче запроса должна быть обеспечена целостность и возможность его идентификации.
Скопируйте файлы с запросами на получение сертификатов с сервера в каталог компьютера, на котором установлена функция CA.
Создайте подписанные сертификаты на основании подготовленных запросов, следуя инструкциям своей функции CA.
Передайте сертификаты, подписанные CA, на сервер. Скопируйте их в каталог, содержащий запросы на получение сертификатов и файлы личных ключей серверов, созданные на шаге 1. Необходимо, чтобы файл сертификата сервера S назывался S.cert.
Затем в системе сервера выберите в списке задач из категории Защита сервера пункт Импортировать подписанные сертификаты.
Укажите следующую информацию:
После нажатия кнопки OK появится приглашение на ввод пароля, если файлы наборов личных ключей серверов были зашифрованы на шаге 1. Сертификаты выбранных серверов будут импортированы в файлы личных ключей, а затем будут созданы файлы наборов личных ключей.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/smimpservercert.
Эти файлы необходимо установить на серверах.
Файлы можно передать на сервер любым способом, обеспечивающим достаточный уровень защиты. Ниже описано, каким образом эти файлы можно передать с помощью общего каталога или дискеты TAR:
Примечание: Если вы решите передать файлы этим способом, предварительно зашифруйте файлы наборов личных ключей в окне диалога Создать личные ключи и запросы на получение сертификатов для данного сервера и других серверов. Это необходимо сделать, поскольку в данном случае файлы передаются в исходном виде. Доступ к общему каталогу рекомендуется предоставить только администратору.
Затем установите наборы личных ключей на всех серверах. Войдите в систему сервера как пользователь root и запустите Web-администратор системы. Выберите Среда управления --> имя-хоста --> Функции защиты --> Защита сервера. Выберите пункт Установить набор личных ключей, а затем выберите носитель, на котором расположены файлы наборов личных ключей. Если файл расположен на дискете TAR, то вставьте дискету в дисковод перед тем, как нажать кнопку OK. Если файл набора личных ключей зашифрован, то появится приглашение на ввод пароля. Личный ключ сервера будет установлен в файле /var/websm/security/SM.privkr. Выполните описанную процедуру на каждом сервере.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/sminstkey.
Получите собственный сертификат CA. Скопируйте его в текущий каталог сервера.
Затем в системе сервера выберите в списке задач Защита сервера пункт Импортировать сертификат CA.
Укажите следующую информацию:
После нажатия кнопки OK в указанный каталог будет записан файл набора общих ключей SM.pubkr.
Для выполнения этой задачи из командной строки введите /usr/websm/bin/smimpcacert.
Скопируйте файл набора общих ключей CA в каталог /usr/websm/codebase всех серверов и клиентов Web-администратора системы.
Примечание: Этот файл не содержит конфиденциальную информацию. Однако он определяет, какую функцию CA клиент считает надежной. Следовательно, в системе клиента необходимо ограничить доступ к этому файлу. В режиме аплета после получения данного файла от сервера клиент (и сам аплет) будет считать этот сервер надежным и разрешит ему передачу данных по соединению HTTPS.