为签名的批准启用服务器端配置

1. 打开系统配置对象以进行编辑并设置 security.nonrepudiation.signedApprovals=true。

   有关编辑系统配置对象的说明，请参见编辑 Identity Manager 配置对象。

   如果使用的是 PKCS11，您还必须设置 security.nonrepudiation.defaultKeystoreType=PKCS11。

   如果使用的是自定义 PKCS11 密钥提供程序，您还必须设置 security.nonrepudiation.defaultPKCS11KeyProvider=您的提供程序名称。

   ---

   注 –

   有关何时需要编写自定义提供程序的详细信息，请参阅 REF（Resource Extension Facility，资源扩充工具）工具包中的以下项目：

   com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc) REF/transactionsigner/SamplePKCS11KeyProvider

   REF（Resource Extension Facility，资源扩充工具）工具包是在产品 CD 上的 /REF 目录中提供的，或者是随安装映像提供的。

   ---

2. 将证书颁发机构 (Certificate Authority, CA) 的证书添加为信任证书。为此，必须首先获得证书的副本。

   例如，如果要使用 Microsoft CA，请按类似以下的步骤操作：

   1. 转至 http://IPAddress/certsrv，然后通过管理权限登录。

   2. 选择 Retrieve the CA certificate or certificate revocation list，然后单击 Next。

   3. 下载并保存 CA 证书。

3. 将证书作为信任证书添加到 Identity Manager 中：

   1. 从管理员界面中选择安全性，然后选择证书。Identity Manager 将显示“证书”页。

      图 6–6 “证书”页

      
      

   2. 在“信任 CA 证书”区域中，单击添加。Identity Manager 将显示“导入证书”页。

   3. 浏览到信任证书后将其选中，然后单击 Import。

      证书将立即显示在信任证书列表中。

4. 添加 CA 的证书撤销列表 (Certificate Revocation List, CRL)：

   1. 在 Certificates 页的 CRLs 区域中单击 Add。

   2. 输入 CA CRL 的 URL。

      ---

      注 –

      • 证书撤销列表 (Certificate Revocation List, CRL) 是已被撤销或无效的证书序列号的列表。

      • CA CRL 的 URL 可以是 http 或 LDAP。

      • 对于每个 CA，从中分发 CRL 的 URL 都各不相同，可以通过浏览 CA 证书的 CRL 分发点扩展部分来确定其 URL。

      ---

5. 单击测试连接验证 URL。

6. 单击保存。

7. 使用 jarsigner 对 applets/ts2.jar 签名。

   ---

   注 –

   有关详细信息，请访问 http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html。Identity Manager 附带的 ts2.jar 文件使用自签名证书来签名，不应将其用于生产系统。在生产中，应使用由信任 CA 颁发的代码签名证书重新对此文件签名。

   ---