4 使用 "System" 菜单

本章详细说明如何使用 OKM Manager 连接到 KMA。此外,还说明了如何使用 "System" 菜单上的其他选项。

连接到群集

重要提示-在连接到 KMA 之前,必须至少存在一个群集配置文件,并且必须在 KMA 上创建并启用一个用户。

本节提供了使用 OKM Manager 连接到 KMA 的过程。如果这是您第一次连接到 KMA,则必须先定义群集配置文件。以后,您可以使用创建的群集配置文件连接到 KMA。OKM Manager 使用群集配置文件信息启动与群集(KMA IP 地址)的通信。

创建群集配置文件

要创建群集配置文件:

  1. 从 "System" 菜单中选择 Connect,或者在工具栏中单击 "Connect" 按钮。此时将显示 "Connect to Cluster" 对话框。如果有现成的配置文件,则将在 "Cluster Name" 和 "IP Address" 字段中分别显示群集配置文件名称及其 IP 地址。

    周围文本对 connect_to_cluster.jpg 进行了说明。

  2. 单击 New Cluster Profile 按钮。此时将显示 "Create Cluster Profile" 对话框。

    周围文本对 new_cluster.jpg 进行了说明。

  3. 完成以下参数:

    Cluster Name

    键入唯一标识该群集配置文件名称的值。

    Initial IP Address or Host Name

    键入此群集中要连接到的初始 KMA 的服务网络 IP 地址或主机名。选择连接到哪个网络取决于运行 OKM Manager 的计算机系统连接到什么网络。

    注:

    您仅需创建一个群集配置文件,因为该配置文件涵盖整个群集,可由(代理的)任何用户使用。您需要再创建一个群集配置文件的唯一原因是您需要再建立一个群集,或者更改了当前群集中所有 KMA 的 IP 地址。

  4. 单击 OK 按钮。此时将显示 "Connect to Cluster" 对话框,其中有您创建的群集配置文件信息。

    周围文本对 connect_to_cluster_so.jpg 进行了说明。

  5. 完成以下参数,然后单击 Connect 按钮:

    User ID

    键入要连接到指定 KMA 的用户的名称;或者,如果这是在执行初始 QuickStart 过程后您第一次连接到 KMA,请键入在 QuickStart 过程中创建的安全官的名称。

    Passphrase

    键入所选用户的口令短语。

    Cluster Name

    选择要连接到群集。

    Member KMA

    选择该群集中要连接到的 KMA。

    IP Preference

    选择所需的 Internet 协议版本:IPv4 Only、IPv6 Only 或 IPv6 Preferred。

    如果某个 KMA 在您连接到群集后加入了该群集,则该 KMA 不会出现在 "Member KMA" 列表中。要更新该列表,请输入用户名和口令短语,选择一个群集配置文件,然后单击 "Refresh KMAs" 按钮。

    重要提示-KMA 会验证用户 ID 和口令短语。返回的 KMA IP 地址列表用于填充群集配置文件,并存储在主机上。下一次连接到 KMA 时,可以输入该用户名和口令短语,选择一个群集配置文件,然后选择一个 KMA。

  6. 如果连接成功,OKM Manager GUI 的状态栏会显示用户名和别名、KMA 的连接状态 (Connected) 以及 KMA 的 IP 地址。

    周围文本对 connection_status1.jpg 进行了说明。

  7. 现在,您可以使用 OKM Manager 执行各种操作了。有关各个用户角色可以执行的操作,请参见章 5章 9

    注:

    根据角色分配情况,KMA 管理操作树窗格中的任务会有所不同。

删除群集配置文件

要删除群集配置文件:

  1. 在 "Connect to Cluster" 对话框中单击 "Cluster Name" 字段旁边的向下箭头,突出显示您要删除的群集配置文件,然后单击 "Delete Cluster Profile" 按钮。此时将显示 "Delete Cluster Profile" 对话框,提示您确认要删除选定的群集配置文件。

    周围文本对 aysdeleteclusterprofile.jpg 进行了说明。

  2. 单击 Yes 按钮删除配置文件。此时将删除群集配置文件,并返回到 "Connect to Cluster" 对话框。

断开与 KMA 的连接

要断开与 KMA 的连接:

在 "System" 菜单中选择 Disconnect,或者在工具栏中单击 "Disconnect"。您将立即断开与 KMA 以及 OKM 群集的连接。会话审计日志窗格将指示您从 KMA 断开连接的日期和时间。

更改口令短语

注:

此菜单选项仅在您使用配置文件连接到 KMA 时启用。

用户可使用此功能更改自己的口令短语。此功能不会让用户的当前证书失效。

要更改已连接用户的口令短语:

  1. 在 "System" 菜单中选择 Change Passphrase...。此时将显示 "Change Passphrase" 对话框。

    周围文本对 change_passphrase.jpg 进行了说明。

  2. 完成以下参数,然后单击 "OK" 按钮:

    Old Passphrase

    键入用户的旧口令短语。

    New Passphrase

    键入用户的新口令短语。

    Confirm New Passphrase

    重复键入相同的口令短语。

  3. 接下来会在会话审计日志窗格中显示消息,指示您更改用户口令短语的日期和时间。

保存证书

此功能可用于导出 OKM 命令行实用程序可用的证书(请参阅"OKM 命令行实用程序")。

根 CA 证书是以 PEM 格式保存的公共证书,能够以 PEM 文件形式用于命令行界面 (Command Line Interface, CLI) 操作。

客户机证书可以用 PEM 格式或 PKCS#12 格式保存。PEM 格式包含证书以及未加密的私钥。以此格式保存的客户机证书能够以 PEM 文件形式用于 CLI 操作。

PKCS#12 格式是加密的。以此格式保存的客户机证书必须转换为 PEM 格式后才能用于 CLI 操作(请参见"将 PKCS#12 格式转换为 PEM 格式")。要以 PKCS#12 格式保存客户机证书,需要用于加密的密码。此密码必须至少包含 8 个字符。

注:

应将这些证书存储在具有足够权限的安全位置以限制其他用户的访问。如果以 PKCS#12 格式保存客户机证书,则必须保留密码。

要保存证书:

  1. 在 "System" 菜单中选择 Save Certificates

    周围文本对 save_certs1.jpg 进行了说明。

    注:

    "Save Certificates" 菜单选项仅在用户连接到 KMA 时启用。

    此时将显示 "Save Certificates" 对话框,其中有为根 CA 证书和客户机证书自动生成的文件名。

    周围文本对 save_certs2.jpg 进行了说明。

    您可以直接编辑这些文件名,也可以单击 "Browse" 选择其他目标路径或编辑文件名。

  2. 在 "Format" 字段中,选择客户机证书在导出时应采用的格式。

  3. 如果选择了 PKCS#12 格式,请在 "Passphrase" 字段中键入一个口令短语,并在 "Confirm Passphrase" 字段中重复键入此口令短语。

  4. 单击 "OK" 导出这些证书。导出了这些证书之后,将显示一条消息,指示这些文件的位置。

  5. 单击 "Cancel" 关闭此对话框,并返回到之前的屏幕。

PKCS#12 格式转换为 PEM 格式

如果已将客户机证书保存为 PKCS#12 格式,则必须将其转换为 PEM 格式才能将其用于 OKM 命令行实用程序。使用 openssl 实用程序转换证书格式。

openssl 实用程序位于 OKM Manager GUI 和 OKM 命令行实用程序安装目录下的 OpenSSL 目录中。

语法为:

openssl pkcs12 -in PKCS12file -out PEMfile -nodes

例如:

openssl pkcs12 -in KeyTransferOperator.p12 \
-out KeyTransferOperator.pem -nodes
Enter Import Password:

-nodes 参数是导出私钥所必需的参数。因为私钥没有密码保护,因此应妥善管理此文件。

注:

如果需要,可以选择在命令行上使用 -passin 参数指定导入密码。

指定配置设置

要指定配置设置:

  1. 在 "System" 菜单中选择 Options...。此时将显示 "Options" 对话框,其中显示了当前的配置设置。

    注:

    选择的选项存储在 Windows 注册表中,或者其他平台的 "~/.KMS Manager" 中(其中 ~ 是用户的主目录)。这些值的 Windows 注册表项是 "My Computer\HKEY_CURRENT_USER\Software\Sun Microsystems\KMS Manager"。
    周围文本对 options_dialog1.jpg 进行了说明。

  2. 根据需要修改以下参数,然后单击 Save 按钮:

    Communication Timeout

    键入与连接的 KMA 通信的超时期限(以秒为单位)。如果 KMA 在该超时值范围内无响应,OKM Manager 将放弃通信。下限值为 1,上限值为 60。默认值为 15。

    周围文本对 comm_timeout.jpg 进行了说明。

Query Page Size

键入要在屏幕、对话框或者对话框中显示项目列表的选项卡上显示的最大项目数量。要查看比该限制长的列表,可以使用分页。下限值为 1,上限值为 1000。默认值为 20。

Display Dates in Local Time Zone

选中此复选框后,所有日期和时间将以本地计算机的时区(即 OKM Manager 的运行地)显示,而不是以 UTC 显示。默认值处于选中状态。随后将显示确认消息。

Display Tool Tips on List Panels

如果希望当光标位于项目上时看到工具提示,请选中此复选框。此项为默认设置。

Zone ID

如果您的 KMA 被配置为具有 IPv6 地址,并且您希望使用 IPv6 链路本地地址(即以 fe80 开头的地址)连接到其中的某个 KMA,请选择一个在连接到该链路本地地址时要使用的区域 ID。

有关更多信息,请参见"带区域 ID 的 IPv6 地址"

区域 ID 的 IPv6 地址

对于 Windows 系统用户,可使用 OKM Manager GUI 以及备份和 OKM 命令行实用程序(请参见"命令行实用程序")输入链路本地 IPv6 地址,但必须先执行一些初始设置。

注:

只要指定链路本地地址(即以 fe80 开头的 IPv6 地址),就必须输入区域 ID。指定区域 ID 时,可将其附加到 IPv6 地址末尾,后跟一个百分号 (%)。

  1. 显示命令提示符窗口,并确定在您的 Windows 系统上可用的区域 ID。

    netsh interface ipv6 show interface

    区域 ID 出现在此命令输出中的 Idx 列中。查找 "State" 为 "Connected" 的条目。

  2. 使用 ping 命令来确认使用其中某个区域 ID 的网络连接性。例如:

    ping fe80::216:36ff:fed5:fba2%4

  3. 在 OKM Manager GUI 中初启 "Connect" 对话框之前,请显示 "Options" 对话框并选择相应的 "Zone ID"。

    周围文本对 options_bo1.jpg 进行了说明。

  4. 单击 Save 按钮。

从 OKM Manager 退出

要从 OKM Manager 退出:

  1. 从 "System" 菜单中选择 Exit,或者在标题栏中单击 "X" 按钮。OKM Manager 将关闭,您将返回到 Windows 桌面。

  2. 已连接的 OKM Manager 会立即断开连接并关闭。