Rubrique précédente: Certificats par défaut pour Linux et UNIXRubrique suivante: Modifier ou réparer une installation

Tâches post-installationIntroduction de vos propres certificats X.509 dans l'image d'installationPersonnalisation de certificats X.509 à l'aide de cfcert.ini

Personnalisation de certificats X.509 à l'aide de cfcert.ini

Le fichier cfcert.ini contrôle les certificats installés par Client Automation. Le fichier cfcert.ini contient plusieurs sections, qui correspondent à chaque groupe d'applications dans l'installation. Voici un exemple de fichier cfcert.ini par défaut :

[CAF]
files=itrm_dsm_r11_root.der,basic_id.p12

[Configuration]
files=ccsm.p12

[Gestionnaire]
files=itrm_dsm_r11_cmdir_eng.p12

[Enregistrement]
files=registration.p12

[USD.Agent]
files=itrm_dsm_r11_sd_catalog.p12

[USD.Manager]
files=itrm_dsm_r11_agent_mover.p12,itrm_dsm_r11_sd_catalog.p12




[Fichiers]
itrm_dsm_r11_root.der=cacertutil import -i:itrm_dsm_r11_root.der -it:x509v3
basic_id.p12=cacertutil import -i:basic_id.p12 -ip:enc:uAa8VNL4DKZlUUtFk5INPnr2RCLGb4h0 -h -t:dsmcommon
ccsm.p12=cacertutil import -i:ccsm.p12 -t:csm -ip:enc:IWhun2x3ys7y1FM8Byk2LMs56Rr8KmXQ
itrm_dsm_r11_cmdir_eng.p12=cacertutil import -i:itrm_dsm_r11_cmdir_eng.p12 -ip:enc:gYuzGzNcIYzWjHA6w542pW68E8FobJhv -t:dsm_cmdir_eng
itrm_dsm_r11_sd_catalog.p12=cacertutil import -i:itrm_dsm_r11_sd_catalog.p12 -ip:enc:wdyZd4DXpx6j5otwKY0jSaOOVLLi0txQruDVOslGOlNIMZw96c85Cw -t:dsmsdcat
itrm_dsm_r11_agent_mover.p12=cacertutil import -i:itrm_dsm_r11_agent_mover.p12 -ip:enc:sytOQtZteLopAt1CX0jIJUJcpqBWrb7G7VegY7F7udogc1c5kLIylw -t:dsmagtmv
registration.p12=cacertutil import -i:registration.p12 -ip:enc:z5jLhmvfkaAF4DLMDp3TWuC7nG8yh3dfvmN668thfrU -t:dsm_csvr_reg
babld.p12=cacertutil import -i:babld.p12 -ip:enc:TrdWglmuNCdeOAfj2j3vMwywVbGnlIvX -t:babld_server
dsmpwchgent.p12=cacertutil import -i:dsmpwchgent.p12 -ip:enc:QWF8vknD5aZsU1j5RLzgt1NQgF5DcXj4v1vS4ewDzOA -t:ent_access
dsmpwchgdom.p12=cacertutil import -i:dsmpwchgdom.p12 -ip:enc:sqb9qO2SGjbYqzIvwM7HEbx0M6UJk8Dc82EvUoDeJmE -t:dom_access
dsmpwchgrep.p12=cacertutil import -i:dsmpwchgrep.p12 -ip:enc:x901eho57IZ19zg6g97rQetHjA1461na7nhBmJl7mcc -t:rep_access

[Balises]
dsmcommon=x509cert://DSM r11/CN=Generic Host Identity,O=Computer Associates,C=US
csm=x509cert://dsm r11/CN=Configuration and State Management,O=Computer Associates,C=US
dsm_cmdir_eng=x509cert://dsm r11/cn=dsm directory synchronisation,o=computer associates,c=us
dsmsdcat=x509cert://dsm r11/CN=DSM r11 Software Delivery Catalog,O=Computer Associates,C=US
dsmagtmv=x509cert://dsm r11/CN=DSM r11 Agent Mover,O=Computer Associates,C=US
dsm_csvr_reg=x509cert://dsm r11/CN=DSM Common Server Registration,O=Computer Associates,C=US
babld_server=x509cert://dsm r11/cn=babld server,o=computer associates,c=us
ent_access=x509cert://dsm r11/CN=Enterprise Access,O=Computer Associates,C=US
dom_access=x509cert://dsm r11/CN=Domain Access,O=Computer Associates,C=US
rep_access=x509cert://dsm r11/CN=Reporter Access,O=Computer Associates,C=US

Chaque section du fichier cfcert.ini déclare les certificats qui doivent être installés par le programme d'installation associé. Le programme d'installation lit l'entrée files= à partir de sa section associée dans cfcert.ini et installe chaque certificat répertorié en retour, à l'aide de la commande située dans la section [Fichiers] du fichier cfcert.ini.

Par exemple, le programme d'installation du cadre d'applications communes (CAF) détecte qu'il doit installer les certificats itrm_r11_dsm_root.der et basic_id.p12. Dans la section [Fichiers], le programme d'installation de CAF détecte les commandes cacertutil associées à ces certificats dans les deux premières lignes, puis il exécute ces commandes.

La section [Balises] vous permet de créer de nouveaux certificats qui n'utilisent pas les URI de certificat standard. Lors de l'installation d'un noeud du gestionnaire DSM, les composants d'installation lisent cette section et configurent les profils de sécurité pour les URI appelés. Les balises et les URI répertoriés précédemment sont les paramètres Client Automation par défaut et sont utilisés s'ils sont absents du fichier cfcert.ini.

Par convention, les noms de fichier répertoriés dans l'entrée files= du fichier cfcert.ini sont les mêmes que les noms de fichier de certificat sous-jacent. Cela permet une maintenance simplifiée du fichier d'initialisation cfcert.ini.

Pour remplacer les certificats par défaut par le vôtre, modifiez chaque section individuelle et la section [Fichiers] pour refléter les nouveaux noms et mots de passe du certificat.

Important : Assurez-vous que les nouveaux certificats sont importés à l'aide des noms de balise corrects. Les balises sont spécifiées par -t: -mp. Pour plus d'informations et une liste des certificats disponibles, reportez-vous aux sections Installation de certificats spécifiques à l'application et Certificats actuels.