Introduction de vos propres certificats X.509 dans l'image d'installation
Personnalisation de certificats X.509 à l'aide de cfcert.ini
Le fichier cfcert.ini contrôle les certificats installés par Client Automation. Le fichier cfcert.ini contient plusieurs sections, qui correspondent à chaque groupe d'applications dans l'installation. Voici un exemple de fichier cfcert.ini par défaut :
[CAF] files=itrm_dsm_r11_root.der,basic_id.p12
[Configuration] files=ccsm.p12
[Gestionnaire] files=itrm_dsm_r11_cmdir_eng.p12
[Enregistrement] files=registration.p12
[USD.Agent] files=itrm_dsm_r11_sd_catalog.p12
[USD.Manager] files=itrm_dsm_r11_agent_mover.p12,itrm_dsm_r11_sd_catalog.p12
[Fichiers] itrm_dsm_r11_root.der=cacertutil import -i:itrm_dsm_r11_root.der -it:x509v3 basic_id.p12=cacertutil import -i:basic_id.p12 ip:enc:uAa8VNL4DKZlUUtFk5INPnr2RCLGb4h0 -h -t:dsmcommon ccsm.p12=cacertutil import -i:ccsm.p12 -t:csm ip:enc:IWhun2x3ys7y1FM8Byk2LMs56Rr8KmXQ itrm_dsm_r11_cmdir_eng.p12=cacertutil import -i:itrm_dsm_r11_cmdir_eng.p12 ip:enc:gYuzGzNcIYzWjHA6w542pW68E8FobJhv -t:dsm_cmdir_eng itrm_dsm_r11_sd_catalog.p12=cacertutil import -i:itrm_dsm_r11_sd_catalog.p12 ip:enc:wdyZd4DXpx6j5otwKY0jSaOOVLLi0txQruDVOslGOlNIMZw96c85Cw -t:dsmsdcat itrm_dsm_r11_agent_mover.p12=cacertutil import -i:itrm_dsm_r11_agent_mover.p12 ip:enc:sytOQtZteLopAt1CX0jIJUJcpqBWrb7G7VegY7F7udogc1c5kLIylw -t:dsmagtmv registration.p12=cacertutil import -i:registration.p12 ip:enc:z5jLhmvfkaAF4DLMDp3TWuC7nG8yh3dfvmN668thfrU -t:dsm_csvr_reg babld.p12=cacertutil import -i:babld.p12 -ip:enc:TrdWglmuNCdeOAfj2j3vMwywVbGnlIvX
-t:babld_server dsmpwchgent.p12=cacertutil import -i:dsmpwchgent.p12 ip:enc:QWF8vknD5aZsU1j5RLzgt1NQgF5DcXj4v1vS4ewDzOA -t:ent_access dsmpwchgdom.p12=cacertutil import -i:dsmpwchgdom.p12 ip:enc:sqb9qO2SGjbYqzIvwM7HEbx0M6UJk8Dc82EvUoDeJmE -t:dom_access dsmpwchgrep.p12=cacertutil import -i:dsmpwchgrep.p12 ip:enc:x901eho57IZ19zg6g97rQetHjA1461na7nhBmJl7mcc -t:rep_access
Chapitre 4: Tâches post-installation 237
Introduction de vos propres certificats X.509 dans l'image d'installation
[Balises] dsmcommon=x509cert://DSM r11/CN=Generic Host Identity,O=Computer Associates,C=US csm=x509cert://dsm r11/CN=Configuration and State Management,O=Computer
Associates,C=US dsm_cmdir_eng=x509cert://dsm r11/cn=dsm directory synchronisation,o=computer associates,c=us dsmsdcat=x509cert://dsm r11/CN=DSM r11 Software Delivery Catalog,O=Computer
Associates,C=US dsmagtmv=x509cert://dsm r11/CN=DSM r11 Agent Mover,O=Computer Associates,C=US dsm_csvr_reg=x509cert://dsm r11/CN=DSM Common Server Registration,O=Computer
Associates,C=US babld_server=x509cert://dsm r11/cn=babld server,o=computer associates,c=us ent_access=x509cert://dsm r11/CN=Enterprise Access,O=Computer Associates,C=US dom_access=x509cert://dsm r11/CN=Domain Access,O=Computer Associates,C=US rep_access=x509cert://dsm r11/CN=Reporter Access,O=Computer Associates,C=US
Chaque section du fichier cfcert.ini déclare les certificats qui doivent être installés par le programme d'installation associé. Le programme d'installation lit l'entrée files= à partir de sa section associée dans cfcert.ini et installe chaque certificat répertorié en retour, à l'aide de la commande située dans la section [Fichiers] du fichier cfcert.ini.
Par exemple, le programme d'installation du cadre d'applications communes (CAF) détecte qu'il doit installer les certificats itrm_r11_dsm_root.der et basic_id.p12. Dans la section [Fichiers], le programme d'installation de CAF détecte les commandes cacertutil associées à ces certificats dans les deux premières lignes, puis il exécute ces commandes.
La section [Balises] vous permet de créer de nouveaux certificats qui n'utilisent pas les
URI de certificat standard. Lors de l'installation d'un noeud du gestionnaire DSM, les composants d'installation lisent cette section et configurent les profils de sécurité pour les URI appelés. Les balises et les URI répertoriés précédemment sont les paramètres
Client Automation par défaut et sont utilisés s'ils sont absents du fichier cfcert.ini.
Par convention, les noms de fichier répertoriés dans l'entrée files= du fichier cfcert.ini sont les mêmes que les noms de fichier de certificat sous-jacent. Cela permet une maintenance simplifiée du fichier d'initialisation cfcert.ini.
Pour remplacer les certificats par défaut par le vôtre, modifiez chaque section individuelle et la section [Fichiers] pour refléter les nouveaux noms et mots de passe du certificat.
Important : Assurez-vous que les nouveaux certificats sont importés à l'aide des noms de balise corrects. Les balises sont spécifiées par -t: -mp. Pour plus d'informations et une
liste des certificats disponibles, reportez-vous aux sections Installation de certificats spécifiques à l'application
(page 417) et Certificats actuels (page 583).
238 Manuel d'implémentation
