Aktualisieren des Zertifizierungsstellenservers (CA)

Novell* Certificate Server ist eine integrierte PKI (Public Key Infrastructure; Infrastruktur für öffentliche Schlüssel), die in eDirectory* enthalten ist. Bei der NetWare*-Installation wird Novell Certificate Server verwendet, um eine organisatorische Zertifizierungsstelle (Certificate Authority, CA) zu erstellen und Zertifikate für Anwendungen auszustellen, die SSL-Services (Secure Socket Layer) nutzen.

Im Lieferumfang von Novell NetWare 5.0 war eine grundlegende PKI enthalten. Da Ihr Netzwerk möglicherweise mit der NetWare 5.0-PKI konfiguriert wurde, sollten Sie die folgenden Schritte ausführen, um die NetWare 5.0-PKI ordnungsgemäß aufzurüsten und Ihr Netzwerk korrekt für Novell Certificate Server zu konfigurieren:

1. Ermitteln Sie den Server, der als organisatorische Zertifizierungsstelle (CA) fungiert. Das organisatorische Zertifizierungsstellenobjekt befindet sich im Sicherheitscontainer. Verwenden Sie ConsoleOne*, doppelklicken Sie auf das organisatorische CA-Objekt und klicken Sie anschließend auf die Registerkarte "Allgemein". Der als Zertifkatsautorität fungierende Server wird im Feld "Hostserver" aufgeführt.

Hinweis: Sollte es in Ihrem Verzeichnisbaum kein organisatorisches CA-Objekt geben, können Sie direkt mit Schritt 3 fortfahren. (Wenn kein organisatorisches CA-Objekt vorhanden ist, wird es bei der NetWare-Installation automatisch erstellt.)

2. Stellen Sie sicher, dass auf dem Server, der als Zertifizierungsstelle fungiert, Novell Certificate Server 2.0 oder höher ausgeführt wird.

  1. Geben Sie an der Serverkonsole NWCONFIG ein.
  2. Wählen Sie "Produktoptionen" > "Installierte Produkte anzeigen/konfigurieren/entfernen".
  3. Suchen Sie den Eintrag "PKIS". Falls es keinen Eintrag gibt oder Sie Version 2.0.0 oder höher nicht finden, müssen Sie Novell Certificate Server 2.0 oder höher installieren, bevor Sie den Vorgang fortsetzen. Novell Certificate Server kann unter http://download.novell.com heruntergeladen werden. Klicken Sie auf das Optionsfeld "Suche nach Produkt", wählen Sie dann aus der Dropdown-Liste "Auswählen eines Produkts" die Option "Certificate Server" und klicken Sie auf "Suche senden".

3. Überprüfen Sie, ob sicherheitsbezogene Objekte vorhanden sind, und richten Sie die zur Erstellung und zum Betrieb der Zertifizierungsstelle erforderlichen eDirectory-Rechte ein.

Wenn der KAP-Container oder das W0-Objekt nicht vorhanden sind (der KAP-Container befindet sich im Sicherheitscontainer, das W0-Objekt befindet sich im KAP-Container), werden sie bei der Installation des ersten NetWare-Servers erstellt. Der Verwalter, der die Installation durchführt, muss über Supervisor-Rechte für den Sicherheitscontainer bzw., falls der Sicherheitscontainer noch nicht vorhanden ist, über Supervisor-Rechte für den Stamm des Baums verfügen. Eventuell müssen noch weitere Schritte durchgeführt werden. Einzelheiten hierzu finden Sie unter TID 10053572.

Wenn das organisatorische CA-Objekt nicht vorhanden ist, wird es bei der Installation des ersten NetWare-Servers erstellt (sofern diese Option während der Installation nicht deaktiviert wurde). Damit die organisatorische CA erstellt und somit die NetWare-Installation abgeschlossen werden kann, muss der Verwalter über Supervisor-Rechte für das Stammverzeichnis des Baums verfügen.

Wichtig: Der als CA fungierende Server muss während der Installation anderer Server im selben Baum aktiviert und in Betrieb sein.

Wenn das CA-Objekt, der KAP-Container und das W0-Objekt bereits vorhanden sind, müssen Verwalter, die Installationen vornehmen, über folgende Rechte verfügen:

Ohne diese Rechte wird bei den Serverinstallationen keine SSL-Sicherheit (Secure Socket Layer) konfiguriert. Üblicherweise werden diese Rechte vom Stammverzeichnisverwalter vergeben, indem er eine neue Gruppe oder Funktion erstellt, dem Gruppen- oder Funktionsobjekt die oben genannten Rechte zuweist und anschließend dieser Gruppe oder Funktion Benutzer hinzufügt, die NetWare-Server installieren und mithilfe des organisatorischen CA-Objekts Zertifikate ausstellen dürfen.

4. Laden Sie NICI herunter und installieren Sie es auf der ConsoleOne-Management-Arbeitsstation.

Wenn Sie das ConsoleOne-Snapin für Novell Certificate Server 2.20 verwenden, muss NICI auf der Arbeitsstation installiert sein, auf der Sie ConsoleOne ausführen.

NICI ist verfügbar unter http://download.novell.com.

*Novell-Marke. ** Marken von Drittanbietern. Weitere Informationen finden Sie unter Rechtliche Hinweise.