6 Novell Access Manager 3.1 SP3 Administration Console Guide
3 Security and Certificate Management 47
3.1 Understanding How Access Manager Uses Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47
3.1.1 Process Flow. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
3.1.2 Access Manager Trust Stores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
3.1.3 Access Manager Keystores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.2 Creating Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
3.2.1 Creating a Locally Signed Certificate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
3.2.2 Editing the Subject Name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
3.2.3 Assigning Alternate Subject Names . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3.2.4 Generating a Certificate Signing Request . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3.2.5 Importing a Signed Certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.3 Managing Certificates and Keystores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.3.1 Viewing Certificate Details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.3.2 Adding a Certificate to a Keystore. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.3.3 Renewing a Certificate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
3.3.4 Exporting a Private/Public Key Pair. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.3.5 Exporting a Public Certificate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
3.3.6 Importing a Private/Public Key Pair. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.3.7 Reviewing the Command Status for Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.3.8 Keystore Details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
3.4 Managing Trusted Roots and Trust Stores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
3.4.1 Importing Public Key Certificates (Trusted Roots). . . . . . . . . . . . . . . . . . . . . . . . . . . 72
3.4.2 Adding Trusted Roots to Trust Stores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
3.4.3 Auto-Importing Certificates from Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.4.4 Exporting the Public Certificate of a Trusted Root. . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.4.5 Viewing Trust Store Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
3.4.6 Viewing Trusted Root Details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
3.5 Security Considerations for Certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
3.6 Assigning Certificates to Access Manager Devices. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3.6.1 Importing a Trusted Root to the LDAP User Store . . . . . . . . . . . . . . . . . . . . . . . . . . 76
3.6.2 Managing Identity Server Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.6.3 Assigning Certificates to an Access Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
3.6.4 Assigning Certificates to J2EE Agents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
3.6.5 Configuring SSL for Authentication between the Identity Server and Access
Manager Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
3.6.6 Changing a Non-Secure (HTTP) Environment to a Secure (HTTPS)
Environment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
3.6.7 Creating Keystores and Trust Stores. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4 Access Manager Logging 83
4.1 Understanding the Types of Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.1.1 Component Logging for Troubleshooting Configuration or Network Problems . . . . . 83
4.1.2 HTTP Transaction Logging for Proxy Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4.2 Downloading the Log Files. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
4.2.1 Linux Administration Console Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
4.2.2 Windows Server 2003 Administration Console Logs. . . . . . . . . . . . . . . . . . . . . . . . . 86
4.2.3 Windows Server 2008 Administration Console Logs. . . . . . . . . . . . . . . . . . . . . . . . . 86
4.2.4 Linux Identity Server Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.2.5 Windows Server 2003 Identity Server Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.2.6 Windows Server 2008 Identity Server Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.2.7 Linux Access Gateway Appliance Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
4.2.8 Linux Access Gateway Service Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.2.9 Windows Access Gateway Service Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
4.2.10 SSL VPN Server Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4.3 Using the Log Files for Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91