TAM和CA證書的整合

1. 匯出根證書

2. 將根證書匯入webseal證書資料庫
執行ikeyman，如果之前沒有定義過證書資料庫，選擇新建，如果有，開啟以前的證書資料庫。資料庫型別選擇CMS

3. 建立webseal的證書
執行ikeyman，開啟剛才建立的證書資料庫。Create->New Self-Signed Certificate：

關閉ikeyman

4. 在IDS中建立與證書伺服器結構一致的LDAP結構：
由於證書中使用者定義是cn=hguo, c=users, dc=tivoli, dc=com，為了讓webseal能使用該證書認證，需要webseal的使用者與證書使用者有相同的DN，否則需要程式設計實現認證。

5. 修改webseal配置
開啟/opt/pdweb/etc/webseald-default.conf檔案，建議修改之前對此檔案進行備份。
進行如下幾處修改：

[certificate]
..
accept-client-certs = required

[authentication-mechanisms]
..
cert-ssl = /opt/pedwebrte/lib/libsslauthn.so

[ssl]
..
webseal-cert-keyfile = /var/pdweb/www-default/certs/key.kdb
#webseal-cert-keyfile-pwd =
webseal-cert-keyfile-stash = /var/pdweb/www-default/key.sth

還需要設定：webseal-cert-keyfile-label= WEBSEAL_Server (這個名字和Personal Certifitates的值相同)
另外檢查一下passwd-ldap =
cert-ldap的值

儲存檔案，重起webseal:
#pdweb restart

6. 測試
建立新使用者hguo，申請該使用者證書, 並在TAM中建立相應的使用者。
pdadmin>user create hguo cn=guohui,cn=users,dc=tivoli,dc=com Hui Guo passw0rd
pdadmin>user modify hguo account-valid yes

訪問webseal，可以實現使用者證書登入

IE會提示使用者選擇需要使用的證書

自動實現使用者的認證

[@more@]