第 7 章證書

第 7 章
證書

本章會介紹證書管理並解釋如何安裝自簽的證書與來自認證機構 (CA) 的證書。

本章涵蓋下列主題：

SSL 證書簡介

Portal Server Secure Remote Access 軟體提供以證書為基礎的遠端使用者認證。SRA 使用安全套接層 (SSL) 可實現安全通訊。此 SSL 通訊協定可實現兩部機器之間的安全通訊。

SSL 證書使用公開金鑰與私人金鑰對提供加密與解密功能。

有兩種類型的證書：

自簽證書 (亦稱為根 CA 證書)

由認證機構 (CA) 核發的證書

依預設，當您安裝「閘道」時，系統會產生並安裝自簽證書。

安裝之後，您可以隨時產生、獲得或取代證書。

SRA 同時支援使用個人數位證書 (PDC) 的用戶端認證。PDC 是一種機制，可透過 SSL 用戶端認證進行使用者認證。有了 SSL 用戶端認證，SSL 訊號交換模式便會於「閘道」結束。閘道會擷取使用者的 PDC 並將它傳送到認證伺服器。而此伺服器會使用 PDC 認證使用者。若要配置 PDC 與認證鏈接，請參閱使用認證鏈接。

SRA 提供名為 certadmin 的工具，可讓您用來管理 SSL 證書。請參閱 certadmin 程序檔。

證書檔案

與證書相關的檔案位於 /etc/opt/SUNWps/cert/default/gateway-profile-name。此目錄依預設包含 5 個檔案。

表 7-1 列出這些檔案及其說明。

表 7-1 證書檔案
檔案名稱	類型	描述
cert8.db、key3.db、secmod.db	二進位	包含證書、密鑰和密碼編譯模組的資料。可以使用 certadmin 程序檔進行操控。與 Sun Java™ System Web Server 使用的資料庫檔案具有相同的格式，其中檔案位於 portal-server-install-root/SUNWwbsvr/alias。如有必要，這些檔案可以在 Portal Server 主機和閘道元件或閘道之間共享使用。


.jsspass	隱藏文字檔	包含用於 SRA 密鑰資料庫的加密密碼。
.nickname	隱藏文字檔	以 token-name:certificate-name 格式儲存閘道需要使用的記號與證書的名稱。若您正在使用預設記號 (預設內部軟體加密模組的記號)，請省略記號名稱。在大部分的情形下，.nickname 檔案僅會儲存證書名稱。身為管理員，您可以修改此檔案中的證書名稱。閘道現在將會使用您所指定的證書。

證書信任屬性

證書的信任屬性表示以下資訊：

證書 (就用戶端或伺服器證書而言) 是否由信任的 CA 所核發。

是否可以信任證書 (就根證書而言) 作為伺服器與用戶端證書的核發者。

每種證書有三種可能的信任種類，表達順序為：「SSL、電子郵件和物件簽署」。只有第一種類別可用於取得「閘道」。在每個種類位置，可以使用零或其他信任屬性代碼。

種類的屬性代碼由逗號隔開，而整個屬性集則是由引號環繞。例如，閘道安裝期間產生並安裝的自簽證書標記為 "u,u,u"，表示此是伺服器證書 (使用者認證) 而不是根 CA 證書。

表 7-2 列出可能的屬性值與每個值的意義。

表 7-2 證書信任屬性
屬性	描述
p	有效點
P	可信任點 (暗含 p)
c	有效 CA
T	可信任的 CA 核發用戶端證書 (暗含 c)
C	可信任的 CA 核發伺服器證書 (僅限 SSL) (暗含 c)
u	證書可以用於認證或簽署
w	傳送警告 (在該環境中使用證書時，與其他屬性一起使用以便包含一個警告)

CA 信任屬性

證書資料庫中包含眾所皆知的公開 CA。有關修改公開 CA 信任屬性的資訊，請參閱修改證書的信任屬性。

表 7-3 列出眾多共用的認證機構及其信任屬性。

表 7-3 公開認證機構
認證機構名稱	信任屬性
Verisign/RSA Secure Server CA	CPp,CPp,CPp
VeriSign Class 4 Primary CA	CPp,CPp,CPp
GTE CyberTrust Root CA	CPp,CPp,CPp
GTE CyberTrust Global Root	CPp,CPp,CPp
GTE CyberTrust Root 5	CPp,CPp,CPp
GTE CyberTrust Japan Root CA	CPp,CPp,CPp
GTE CyberTrust Japan Secure Server CA	CPp,CPp,CPp
Thawte Personal Basic CA	CPp,CPp,CPp
Thawte Personal Premium CA	CPp,CPp,CPp
Thawte Personal Freemail CA	CPp,CPp,CPp
Thawte Server CA	CPp,CPp,CPp
Thawte Premium Server CA	CPp,CPp,CPp
American Express CA	CPp,CPp,CPp
American Express Global CA	CPp,CPp,CPp
Equifax Premium CA	CPp,CPp,CPp
Equifax Secure CA	CPp,CPp,CPp
BelSign Object Publishing CA	CPp,CPp,CPp
BelSign Secure Server CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 0 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 1 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 2 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 3 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 4 CA	CPp,CPp,CPp
ABAecom (sub., Am. Bankers Assn.)Root CA	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 1	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 3	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 2	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 4	CPp,CPp,CPp
Deutsche Telekom AG Root CA	CPp,CPp,CPp
Verisign Class 1 Public Primary Certification Authority	CPp,CPp,CPp
Verisign Class 2 Public Primary Certification Authority	CPp,CPp,CPp
Verisign Class 3 Public Primary Certification Authority	CPp,CPp,CPp
Verisign Class 1 Public Primary Certification Authority - G2	CPp,CPp,CPp
Verisign Class 2 Public Primary Certification Authority - G2	CPp,CPp,CPp
Verisign Class 3 Public Primary Certification Authority - G2	CPp,CPp,CPp
Verisign Class 4 Public Primary Certification Authority - G2	CPp,CPp,CPp
GlobalSign Root CA	CPp,CPp,CPp
GlobalSign Partners CA	CPp,CPp,CPp
GlobalSign Primary Class 1 CA	CPp,CPp,CPp
GlobalSign Primary Class 2 CA	CPp,CPp,CPp
GlobalSign Primary Class 3 CA	CPp,CPp,CPp
ValiCert Class 1 VA	CPp,CPp,CPp
ValiCert Class 2 VA	CPp,CPp,CPp
ValiCert Class 3 VA	CPp,CPp,CPp
Thawte Universal CA Root	CPp,CPp,CPp
Verisign Class 1 Public Primary Certification Authority - G3	CPp,CPp,CPp
Verisign Class 2 Public Primary Certification Authority - G3	CPp,CPp,CPp
Verisign Class 3 Public Primary Certification Authority - G3	CPp,CPp,CPp
Verisign Class 4 Public Primary Certification Authority - G3	CPp,CPp,CPp
Entrust.net Secure Server CA	CPp,CPp,CPp
Entrust.net Secure Personal CA	CPp,CPp,CPp
Entrust.net Premium 2048 Secure Server CA	CPp,CPp,CPp
ValiCert OCSP Responder	CPp,CPp,CPp
Baltimore CyberTrust Code Signing Root	CPp,CPp,CPp
Baltimore CyberTrust Root	CPp,CPp,CPp
Baltimore CyberTrust Mobile Commerce Root	CPp,CPp,CPp
Equifax Secure Global eBusiness CA	CPp,CPp,CPp
Equifax Secure eBusiness CA 1	CPp,CPp,CPp
Equifax Secure eBusiness CA 2	CPp,CPp,CPp
Visa International Global Root 1	CPp,CPp,CPp
Visa International Global Root 2	CPp,CPp,CPp
Visa International Global Root 3	CPp,CPp,CPp
Visa International Global Root 4	CPp,CPp,CPp
Visa International Global Root 5	CPp,CPp,CPp
beTRUSTed Root CA	CPp,CPp,CPp
Xcert Root CA	CPp,CPp,CPp
Xcert Root CA 1024	CPp,CPp,CPp
Xcert Root CA v1	CPp,CPp,CPp
Xcert Root CA v1 1024	CPp,CPp,CPp
Xcert EZ	CPp,CPp,CPp
CertEngine CA	CPp,CPp,CPp
BankEngine CA	CPp,CPp,CPp
FortEngine CA	CPp,CPp,CPp
MailEngine CA	CPp,CPp,CPp
TraderEngine CA	CPp,CPp,CPp
USPS Root	CPp,CPp,CPp
USPS Production 1	CPp,CPp,CPp
AddTrust Non-Validated Services Root	CPp,CPp,CPp
AddTrust External Root	CPp,CPp,CPp
AddTrust Public Services Root	CPp,CPp,CPp
AddTrust Qualified Certificates Root	CPp,CPp,CPp
Verisign Class 1 Public Primary OCSP Responder	CPp,CPp,CPp
Verisign Class 2 Public Primary OCSP Responder	CPp,CPp,CPp
Verisign Class 3 Public Primary OCSP Responder	CPp,CPp,CPp
Verisign Secure Server OCSP Responder	CPp,CPp,CPp
Verisign Time Stamping Authority CA	CPp,CPp,CPp
Thawte Time Stamping CA	CPp,CPp,CPp
E-Certify CA	CPp,CPp,CPp
E-Certify RA	CPp,CPp,CPp
Entrust.net Global Secure Server CA	CPp,CPp,CPp
Entrust.net Global Secure Personal CA	CPp,CPp,CPp

certadmin 程序檔

您可以使用 certadmin 程序檔執行下列證書管理工作：

產生自簽證書

您需要為每個伺服器和閘道之間的 SSL 通訊產生證書。

安裝之後若要產生自簽證書

以 root 身份，在您想要產生證書的閘道機器上執行 certadmin 程序檔：

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 1

在證書管理功能表上選擇選項 1。

證書管理程序檔會詢問您是否想要保留現有的資料庫檔案。

請輸入組織特定的資訊、記號名稱和證書名稱。



注意	關於萬用字元證書，請在主機的完全合格的 DNS 名稱中指定一個 * 號。例如，如果主機的完全合格 DNS 名稱為 abc.sesta.com，請指定為 *.sesta.com。產生的證書現在對於 sesta.com 網域中的所有主機名稱而言，都有效。

此主機的完整限定 DNS 名稱是什麼？[host_name.domain_name]

您的社團組織名稱 (如：公司) 是什麼？ []

您的組織單位名稱 (如：部門) 是什麼？ []

您所在的城市或地區的名稱是什麼？ []

您所在的州或省份名稱 (請勿使用縮寫) 是什麼？ []

此單位的雙字母國碼是什麼？ []

僅當您不使用預設的內部 (軟體) 加密模組時才需要使用記號名稱，例如，如果您想要使用密碼卡時 (記號名稱可以使用modutil -dbdir /etc/opt/SUNWps/cert/gateway-profile-name list 列示)；否則，請按一下下列的「傳回」鍵。

請輸入記號名稱。[]

為此證書輸入想使用的名稱？

請輸入證書的有效期間 (以月計) [6]

A self-signed certificate is generated and the prompt returns. (自簽證書將會產生並傳回提示。)

記號名稱 (預設空白) 和證書名稱儲存於 .nickname 檔案中，路徑是 /etc/opt/SUNWps/certgateway-profile-name。

重新啟動證書閘道才會生效：

gateway-install-root/SUNWps/bin/gateway -n new gateway-profile-name start

產生證書簽署要求 (CSR)

可以從 CA 訂制證書之前，您需要產生包含 CA 所需要資訊的證書簽署要求。

若要產生 CSR

以超級使用者身份執行 certadmin 程序檔：

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 2

在證書管理功能表上選擇選項 2。

程序檔提示您輸入組織特定的資訊、記號名稱和網路管理員電子郵件及電話號碼。

請指定主機的完整合格 DNS 名稱。

此主機的完整限定 DNS 名稱是什麼？[snape.sesta.com]

您的社團組織名稱 (如：公司) 是什麼？ []

您的組織單位名稱 (如：部門) 是什麼？ []

您所在的城市或地區的名稱是什麼？ []

您所在的州或省份名稱 (請勿使用縮寫) 是什麼？ []

此單位的雙字母國碼是什麼？ []

僅當您不使用預設的內部 (軟體) 加密模組時才需要使用記號名稱，例如，如果您想要使用密碼卡時 (記號名稱可以使用modutil -dbdir /etc/opt/SUNWps/cert list 列示)；否則，請按一下下列的「傳回」鍵。

請輸入記號名稱 []

現在請輸入本機器 (將為其證書的機器) 網站管理員的部份聯絡資訊。

此伺服器管理員/網站管理員的電子郵件位址是什麼？[]

此伺服器管理員/網站管理員的電話號碼是什麼？ []

輸入所有需要的資訊。



注意	請務必填寫網路管理員電子郵件和電話號碼。為了獲得有效的 CSR，必須填寫這兩項資訊。

CSR 會產生並儲存於 portal-server-install-root/SUNWps/bin/csr.hostname.datetimestamp 檔案中。CSR 同時會列印於螢幕上。當您從 CA 訂制證書時，可以直接複製並貼上 CSR。

新增根 CA 證書

若用戶端站台提交的的證書由閘道證書資料庫中不包含的 CA 所簽署，則 SSL 訊號交換模式將會失敗。

若要避免這種情況，您需要新增根 CA 證書到證書資料庫。這項動作可以確保 CA 變成閘道所知的 CA。

瀏覽至 CA 的網站並獲得此 CA 的根證書。當您使用 certadmin 程序檔時，請指定根 CA 證書的檔案名稱和路徑。

若要新增根 CA 證書

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 3

在證書管理功能表上選擇選項 3。

輸入包含根證書的檔案名稱並輸入證書名稱。

根 CA 證書將會新增至證書資料庫。

安裝來自認證機構的 SSL 證書

閘道安裝期間，依預設系統會建立自簽證書並安裝。在安裝之後的任何時間，您都可以安裝由供應商或由您公司的 CA 提供簽署的 SSL 證書，其中這些供應商會提供正式的認證機構 (CA) 服務。

這項工作包含的三個步驟為：

產生證書簽署要求 (CSR)

從 CA 訂制證書

安裝來自 CA 的證書

從 CA 訂制證書

產生證書簽署要求 (CSR) 之後，您需要使用 CSR 從 CA 訂制證書。

若要從 CA 訂制證書

請至認證機構的網站並訂制您的證書。

提供 CA 所要求的 CSR。若 CA 要求請提供其他資訊。

您將會收到 CA 簽署的證書。請將它儲存在檔案中。檔案中證書內容前後請包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 兩行。

下面的範例省略了實際的證書資料。

-----BEGIN CERTIFICATE-----

The certificate contents (證書內容)...

----END CERTIFICATE-----

安裝來自 CA 的證書

使用 certadmin 程序檔，將您從 CA 獲得的證書安裝在本機資料庫檔案中，路徑是 /etc/opt/SUNWps/certgateway-profile-name。

若要安裝來自 CA 的證書

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 4

在證書管理功能表上選擇選項 4。

程序檔會讓您輸入證書檔案名稱、證書名稱和記號名稱。

含有此證書的檔案名稱 (包括路徑) 是什麼？

請輸入為此證書建立 CSR 時所用的記號名稱。[]

提供所有需要的資訊。

證書將安裝於 /etc/opt/SUNWps/certgateway-profile-name，而且系統會傳回螢幕提示。

重新啟動證書閘道才會生效：

gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

刪除證書

您可以使用證書管理程序檔刪除證書。

若要刪除證書

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 5

在證書管理功能表上選擇選項 5。

輸入要刪除的證書名稱。

修改證書的信任屬性

若用戶端認證與閘道一起使用，證書信任屬性則需要修改。其中一個用戶端認證範例為 PDC (個人數位證書)。核發 PDC 的 CA 必須受閘道所信任，其中 CA 證書的 SSL 標記必須為 "T"。

若閘道設為與 HTTPS 站台通訊，HTTPS 站台伺服器證書的 CA 必須受閘道所信任，而且 CA 證書的 SSL 標記必須為 "C"。

若要修改證書的信任屬性

以超級使用者身份執行 certadmin 程序檔。

gateway-install-root/SUNWps/bin/certadmin -n gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 6

在證書管理功能表上選擇選項 6。

輸入證書的名稱。例如：Thawte Personal Freemail C。

請輸入證書的名稱？

Thawte Personal Freemail CA

輸入證書的信任屬性。

請輸入欲使證書具備的信任屬性 [CT,CT,CT]

系統將會變更證書信任屬性。

列示根 CA 證書

您可以使用證書管理程序檔檢視所有根 CA 證書。

若要檢視根 CA 清單

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 7

在證書管理功能表上選擇選項 7。

系統會顯示所有根 CA 證書。

列示所有證書

您可以使用證書管理程序檔檢視所有證書及其對應的信任屬性。

若要列示所有證書

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 8

在證書管理功能表上選擇選項 8。

系統會顯示所有 CA 證書。

列印證書

您可以使用證書管理程序檔列印證書。

若要列印證書

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示證書管理功能表。

1) 產生自簽證書

2) 產生證書簽署要求 (CSR)

3) 加入 Root CA 證書

4) 安裝來自認證機構 (CA) 的證書

5) 刪除證書

6) 修改證書的信任屬性 (例如 PDC 的信任屬性)

7) 列示 Root CA 證書

8) 列示所有證書

9) 列印證書內容

10) 退出

選擇：[10] 9

在證書管理功能表上選擇選項 9。

輸入證書的名稱。

上一頁目錄索引下一頁
Sun Java System Portal Server 6 Secure Remote Access 管理指南 2004Q2

第 7 章 證書

SSL 證書簡介

證書檔案

證書信任屬性

CA 信任屬性

certadmin 程序檔

產生自簽證書

安裝之後若要產生自簽證書

產生證書簽署要求 (CSR)

若要產生 CSR

新增根 CA 證書

若要新增根 CA 證書

安裝來自認證機構的 SSL 證書

從 CA 訂制證書

若要從 CA 訂制證書

安裝來自 CA 的證書

若要安裝來自 CA 的證書

刪除證書

若要刪除證書

修改證書的信任屬性

若要修改證書的信任屬性

列示根 CA 證書

若要檢視根 CA 清單

列示所有證書

若要列示所有證書

列印證書

若要列印證書

第 7 章
證書