Introdução Se você utiliza o Active Directory e deseja que seus usuários possam atualizar suas senhas de maneira online, através da interface de alteração de senha do Just SSO, este guia poderá lhe ser útil. O Active Directory só permite operação de alteração de senha através de uma conexão segura (via SSL) e se as duas partes (o JustSSO e o Active Directory) compartilharem um certificado raiz confiável. Nas próximas páginas, ilustramos como proceder para gerar este certificado utilizando o Active Directory da cada uma destas configurações. Active Directory integrado ao Microsoft Certificate Server A maneira mais simples de atender este requisito é exportar um trusted root certificate a partir de um Controlador de Domínio e importá-lo utilizando o console administrativo do Just SSO. Antes de começar, verifique seu Active Directory está integrado ao Microsoft Certificate Server. Durante a instalação, Controladores de Domínios do Active Directory automaticamente se candidatam a ser um certificado de controlador de domínio e utilizá-los para suas comunicações seguras de LDAP quando um Active Directory integrado ao Microsoft Certificate Server está publicado dentro da Floresta. Em outras palavras, se você publicou o Microsoft Certificate Server no modo integrado do AD, então você provavelmente não precisará configurar nada mais no AD, pois todas as outras partes utilizarão o SSL na porta 636 para se comunicar. No site da Microsoft você pode encontrar instruções de como configurar o Microsoft Certificate Server. Exportando um Trusted Root Certificate a partir do seu controlador de domínio 1. Logue-se com um login de perfil administrador no seu controlador de domínio e abra o Internet Explorer. Vá no menu Ferramentas, Opções da Internet, Conteúdo e clique no botão Certificados. Página 1 de 6
2. Abra a aba Autoridades de certificação raiz confiáveis e selecione o certificado emitido pelo Servidor de Certificado integrado ao seu Active Directory. Clique no botão Exportar... Página 2 de 6
3. Com isso você iniciará o Assistente para exportação de certificados. Basta clicar no botão Avançar para prosseguir. Página 3 de 6
4. Escolha a opção X.509 codificado na base 64 (*.cer) e clique no botão Avançar 5. Especifique um nome para o arquivo de certificado: Página 4 de 6
6. Confirme a exportação do arquivo clicando no botão Concluir. 7. A seguir, se tudo correr bem, você verá uma mensagem informando que a exportação foi concluída com êxito. Página 5 de 6
8. Por fim, para você poder utilizar este certificado no Just SSO, você precisará utilizar uma ferramenta chamada keytool de modo a convertê-lo para o formato utilizado pelo Just SSO. Para isso, digite a seguinte linha de comando: keytool -import -trustcacerts -alias JustSSO -keystore NOVO_CERTIFICADO -file ARQUIVO_DO_CERTIFICADO em que: ARQUIVO_DO_CERTIFICADO é o caminho/nome do arquivo obtido como resultado dos passos anteriores NOVO_CERTIFICADO é o caminho/nome do arquivo no formato usado pelo Just SSO que será criado com base no certificado especificado por ARQUIVO_DO_CERTIFICADO Ao executar este comando: Será solicitado que você informe (e confirme) uma senha para o novo certificado. Defina uma senha de acordo com a política da sua empresa. Este valor não precisará ser informado em nenhum outro momento. Será exibido os dados do certificado e em seguida o sistema lhe perguntará se você confia neste certificado. Se estiver de acordo, ao responder Yes à pergunta Trust this certificate? [no]: será gerado o arquivo especificado pelo valor de NOVO_CERTIFICADO. É este arquivo que você deverá importar no Just SSO. 9. Pronto, você acabou de gerar a chave de segurança para ser utilizada pelo Just SSO e permitir a comunicação deste com o seu Active Directory. Página 6 de 6