可以使用以下信息和过程来设置数字签名。可以对以下项目进行数字签名:
批准(包括更改批准)
访问查看操作
遵从性违规的修正
本节讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准所需的服务器端和客户端配置。
打开系统配置对象以进行编辑并设置 security.nonrepudiation.signedApprovals=true。
有关编辑系统配置对象的说明,请参见编辑 Identity Manager 配置对象。
如果使用的是 PKCS11,您还必须设置 security.nonrepudiation.defaultKeystoreType=PKCS11。
如果使用的是自定义 PKCS11 密钥提供程序,您还必须设置 security.nonrepudiation.defaultPKCS11KeyProvider=您的提供程序名称。
有关何时需要编写自定义提供程序的详细信息,请参阅 REF(Resource Extension Facility,资源扩充工具)工具包中的以下项目:
com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider |
REF(Resource Extension Facility,资源扩充工具)工具包是在产品 CD 上的 /REF 目录中提供的,或者是随安装映像提供的。
将证书颁发机构 (Certificate Authority, CA) 的证书添加为信任证书。为此,必须首先获得证书的副本。
例如,如果要使用 Microsoft CA,请按类似以下的步骤操作:
将证书作为信任证书添加到 Identity Manager 中:
添加 CA 的证书撤销列表 (Certificate Revocation List, CRL):
单击测试连接验证 URL。
单击保存。
使用 jarsigner 对 applets/ts2.jar 签名。
有关详细信息,请访问 http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html。Identity Manager 附带的 ts2.jar 文件使用自签名证书来签名,不应将其用于生产系统。在生产中,应使用由信任 CA 颁发的代码签名证书重新对此文件签名。
以下配置信息适用于使用 PKCS12 获得的签名批准。先获取证书和专用密钥,然后将其导出到 PKCS#12 密钥库中。例如,如果要使用 Microsoft CA,请按类似以下的步骤操作:
Identity Manager 现在至少需要使用 JRE 1.5。
使用 Internet Explorer 浏览到 http://IPAddress /certsrv,然后通过管理权限登录。
选择“请求证书”,然后单击“下一步”。
选择“高级请求”,然后单击“下一步”。
单击“下一步”。
选择 "User for Certificate Template"。
选择以下选项:
单击“提交”,然后单击“确定”。
单击“安装此证书”。
选择“运行”-> "mmc" 以启动 mmc。
添加证书插件:
如果将 PKCS11 用于签名的批准