A8常见问题解答—证书集成.docVIP

AD插件配置详解  目录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc290282039 1 文档说明 PAGEREF _Toc290282039 \h 3 HYPERLINK \l _Toc290282040 2 集成前提 PAGEREF _Toc290282040 \h 3 HYPERLINK \l _Toc290282041 3 集成步骤 PAGEREF _Toc290282041 \h 3 HYPERLINK \l _Toc290282042 3.1 AD服务器操作 PAGEREF _Toc290282042 \h 3 HYPERLINK \l _Toc290282043 3.1.1 修改AD证书服务器的密码策略 PAGEREF _Toc290282043 \h 3 HYPERLINK \l _Toc290282044 3.2 A8服务器操作 PAGEREF _Toc290282044 \h 4 HYPERLINK \l _Toc290282045 3.2.1 申请证书 PAGEREF _Toc290282045 \h 4 HYPERLINK \l _Toc290282046 3.2.2 AD证书导入A8环境 PAGEREF _Toc290282046 \h 12 HYPERLINK \l _Toc290282047 3.2.3 A8应用配置 PAGEREF _Toc290282047 \h 13 HYPERLINK \l _Toc290282048 4 常见问题 PAGEREF _Toc290282048 \h 17 文档说明 A8安装手册的补充。 A8产品支持两种ldap产品，一种是Sun Directory Server/LDAP，另一种是微软的AD组件（通过活动目录实现ldap功能）。A8目前还不支持其余的ldap产品集成支持，本文档只说明与AD的集成步骤。 集成前提 A8可以正常运行且加密狗或授权文件中有ldap插件。 AD服务器已搭建完成，满足如下要求： AD证书服务器已安装配置好。满足如下要求： 服务器操作系统为windows2003 server 安装有IIS Admin Service服务并已启动 安装有ca证书服务并已启动 安装有AD服务并已启动 集成步骤 AD服务器操作 修改AD证书服务器的密码策略 AD中新建用户，密码默认是7位，并且密码设置规范很多，所以要在组策略中修改AD密码策略 以系统管理员身份登录，在运行中输入：gpedit.msc，打开组策略编辑器，负责性要求禁用，密码长度改为6。如图： 密码策略修改完成之后就可以按照《3.2.1 申请证书》内容做证书申请了。 申请证书 已有web服务器类型证书的情况下可以在AD服务器上直接导出证书。 证书直接导出的工作需要客户自己来做。 还没有web服务器类型证书的情况，需要先在AD服务器上安装IIS。然后按照下面的步骤新申请证书 开始-程序-管理工具- Internet 信息服务 (IIS) 管理器 Internet信息服务- (本地计算机) - 网站-? 右键点选已建好的网站 - 属性 选择 目录安全性 - 服务器证书 新建证书 准备证书，但稍后发送 公共名称最好设置为 AD服务器域名, 这是给使用者连ssl 的 站点. 最后产生证书请求文件 , 默认为c:\certreq.txt 打开IE浏览器，进入 http:// AD服务器ip/CertSrv，按 申请一个证书 高级证书申请 使用 base64 编码的 CMC 或 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件续订证书申请。 使用 记事本 打开 c:\certreq.txt , copy c:\certreq.txt 内容贴至 保存的申请: 证书模板 选择 Web 服务器, 按 提交 然后点选 下载证书 , 将 certnew.cer 储存至 c:\certnew.cer。 证书申请下来之后就可以按照《3.2.1 AD证书导入A8环境》内容做证书导入了。 A8服务器操作 AD证书导入A8环境 运行cmd命令 然后cd进入keytool.exe所在 （a8主目录/jdk/bin）目录下 执行的命令实例如下，对应参数需要根据项目具体环境修改： keytool -import -alias testca_cert -file AD证书目录\certnew.cer -