從桌面管理代辦進行的中間層伺服器驗證以處理安全回應機制為依據。當中間層伺服器要求代辦進行驗證時,它會傳送 X.509 證書。代辦會驗證該證書的完整性和可信度,並會使用公開金鑰/私密金鑰和會期金鑰加密技術交換機密。
在安裝過程中,NetIdentity 證書會安裝於中間層伺服器上。在 NetWare 上,此證書由包含伺服器之樹狀結構的證書授權單位 (CA) 簽署。在 Windows 2000 上,此證書為自行簽署的虛構證書。雖然這些證書在密碼方面有效,但它們並非由託管根部權限簽署,並且不應在受控制環境之外受信任。依預設,桌面管理代辦安裝程式接受這種自行簽署的證書,但這是一種可設定的安裝參數。在受控制網路之外進行部署時,必須使用由託管根部證書授權單位簽署的證書設定中間層伺服器。還必須將其設定為強制執行嚴格可信度檢查。
如果伺服器上已存在有效的 SSL 證書 (即由託管根部權限簽署的證書),則 NetIdentity 驗證程序可以使用相同的證書。
如果伺服器為 NetWare 伺服器,請建立 SSL 證書的金鑰組名稱 (這是 ConsoleOne 中可見的證書物件之名稱) 附註。對於 Windows 2000 伺服器,請建立證書的易於使用名稱註記。
使用瀏覽器,載上中間層伺服器的「NSAdmin」頁 (http://ip-address/oneNet/nsadmin)。
在「一般」組態頁上,將「證書名稱」的值設定為步驟 1 中的名稱。
提交變更。
重新啟動中間層伺服器。
如果未向伺服器提供有效的 SSL 證書,則需要為伺服器設定有效的 X.509 證書 (即由託管根部 CA 簽署的證書)。
獲取由託管根部 CA 簽署的證書。針對相應的平台執行產生證書簽署申請和在中間層伺服器上安裝根 CA中概述的步驟。
如果金鑰組名稱或易於使用的名稱 (取決於平台) 不同於「NetIdentity」,請使用相應的名稱設定中間層伺服器。請參閱上述程序中的步驟 1 至步驟 4。
重新啟動中間層伺服器。
附註:在任一種情況下,如果證書是由託管根部 CA 清單之外的 CA 簽署,則必須在每個工作站上輸入該 CA 的自行簽署證書。如需更多資訊,請參閱在 Windows 工作站上輸入證書。
在使用由託管根部 CA 簽署的證書設定了中間層伺服器後,可以將桌面管理代辦設定為對 NetIdentity 證書強制執行嚴格可信度驗證。請修改以下的登錄機碼設定:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
依預設,「嚴格可信度」值為 0 (零)。保留該值為空或將其設定為 0x0 (零) 可允許接受所有證書。將其設定為 0x1 可將桌面管理代辦設定為拒絕無法完全驗證其可信度的證書。