桌面管理代辦進行中間層伺服器驗證,是以處理安全回應機制為基礎的。當中間層伺服器處理代辦驗證時,其會發送一個 X.509 證書。代辦會驗證該證書的完整性和可信度,並會使用公開金鑰/私密金鑰和會期金鑰加密技術交換機密。
在安裝過程中,NetIdentity 證書會安裝於中間層伺服器上。在 Linux 上,此證書由包含伺服器之樹狀結構的證書授權 (CA) 簽署。雖然此證書經密碼驗證有效,但其未經託管根部授權簽署,且在受控制環境之外不應信任此證書。依預設,桌面管理代辦安裝程式接受這種自行簽署的證書,但這是一個可設定的安裝參數。在受控制網路之外進行部署時,必須使用由託管根部證書授權簽署的證書設定中間層伺服器。還必須將其設定為強制執行嚴格可信度檢查。
如果伺服器上已存在有效的 SSL 證書 (即由託管根部授權簽署的證書),則 NetIdentity 驗證程序可以使用相同的證書。
如果伺服器為 Linux 伺服器,請記下 SSL 證書的金鑰組名稱 (即在 ConsoleOne 中顯示的證書物件之名稱)。
使用瀏覽器,載上中間層伺服器的「NSAdmin」頁 (http://ip_address/oneNet/nsadmin)。
在「一般」組態頁上,將「證書名稱」的值設定為步驟 1 中的名稱。
提交變更。
重新啟動中間層伺服器。
如果未向伺服器提供有效的 SSL 證書,則需要為伺服器設定有效的 X.509 證書 (即由託管根部 CA 簽署的證書)。
獲取由託管根部 CA 簽署的證書。針對相應的平台執行產生證書簽署申請和在中間層伺服器上安裝根 CA中概述的步驟。
如果金鑰組名稱或易於使用的名稱 (取決於平台) 不同於「NetIdentity」,請使用相應的名稱設定中間層伺服器。請參閱上述程序中的步驟 1 至步驟 4。
重新啟動中間層伺服器。
附註:在任一種情況下,如果證書是由託管根部 CA 清單之外的 CA 簽署,則必須在每個工作站上輸入該 CA 的自行簽署證書。如需更多資訊,請參閱在 Windows 工作站上輸入證書。
在使用由託管根部 CA 簽署的證書設定了中間層伺服器後,可以將桌面管理代辦設定為對 NetIdentity 證書強制執行嚴格可信度驗證。請修改以下的登錄機碼設定:
HKEY_LOCAL_MACHINE\Software\Novell\Client\Policies\NetIdentity "Strict Trust"= dword:0x00000001
依預設,「嚴格可信度」值為 0 (零)。保留該值為空或將其設定為 0x0 (零) 可允許接受所有證書。將其設定為 0x1 可將桌面管理代辦設定為拒絕無法完全驗證其可信度的證書。