电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛

标题: 为 TM1 9.5 配置 LDAP 身份验证 -6 [打印本页]

作者: look_w 时间: 2018-2-21 14:32 标题: 为 TM1 9.5 配置 LDAP 身份验证 -6

重新启动
为了最终为这个服务器激活 LDAP 身份验证，确保保存对 tm1s.cfg 的修改，重新启动 TM1 Admin Server 和 TM1 服务器。
把可信根 CA 证书导入 Windows 信任存储
完成设置的最后一步是把适当的证书导入 Windows 信任存储，让 Windows 信任 LDAP 服务器提供的服务器证书。
这可以采用两种方式：

直接或通过 Internet Explorer 向导使用 Microsoft Management Console (MMC) 的 Microsoft Windows Certificate 插件
使用 TM1 中的 importsslcert 工具

使用 importsslcert
有一个没有文档记载的工具 importsslcert，TM1 在为内部 SSL 设置证书时使用它。这个工具把证书和它的 CRL 证书放进 Windows 的信任存储中。这是目前最简便的方法，基本上不可能出现错误。
调用这个工具的方法是进入 <TM1_ROOT>/bin 并执行：
importsslcert -ca <certificate> [-crl <crl_certificate>]
对于 certificate，提供包含 CA 证书（如果使用自签署证书，是服务器证书）的文件的绝对路径。还可以可选地提供 CRL 证书。工具会显示成功或失败消息。
现在，完成了。
使用 Windows Certificate 插件
把证书作为可信根 CA 导入 Windows 很简单，但是有一处需要注意。当 Windows 询问要放置此证书的证书存储时，必须小心。逻辑存储和物理存储之间有细微的差异。Windows API 期望证书在本地主机上的物理存储中。如果由于某种原因它们没有放在那里，即使 Windows 把证书显示为可信根 CA，也无法建立信任。
使用 Internet Explorer 浏览器导入证书：

打开浏览器。
进入 Internet Options 的 Content 选项卡。
找到 Certificates 部分并单击 Certificates。
单击 “Import...”，Certificate Import Wizard 会出现。
单击 Next。
找到要导入的证书文件并单击 Next。
Certificate Store selection 对话框出现。确保选中 “Place all certificates in the following store” 选项。然后单击 Browse。

图 11. Certificate Import Wizard

在出现的对话框中，选中 “show physical stores”，进入 Third Party Root Certification Authorities -> Local Computer，单击选择它。单击 OK。

图 12. Select Certificate Store 对话框

返回到 Certificate Import Wizard，单击 Next。
在最后的汇总信息页面上，单击 Finish。
表示导入成功的消息框出现之后，在 “Trusted Root Certification Authorities” 上的列表中应该会出现这个证书。

导入任务完成了。
注意：可以使用 Microsoft MMC 的 Certificates 插件完成这个任务。在选择 Trusted Root Certification Authorities 之后，一定要单击 View-> Options 并指定 “physical certificate stores” 选项。
图 13. certmgr View Options

把证书导入 Trusted Root Certifying Authorities -> Local Computer -> Certificates 文件夹。
图 14. Trusted Root Certifying Authorities / Local Computer / Certificates

欢迎光临电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/)