test

Sun Java System Directory Server Enterprise Edition 6.3 管理指南

配置 SSL 通信

本部分包含与禁用和启用 SSL 有关的过程。

禁用非安全通信

创建服务器实例时,默认情况下将创建 LDAP 端口和安全 LDAP 端口 (LDAPS)。但是,在某些情况下可能需要禁用非 SSL 通信,以便服务器只通过 SSL 进行通信。

SSL 连接是使用默认自签名证书启用的。如果需要,您可以安装自己的证书。有关在启动服务器后管理证书和禁用 SSL 的说明,请参见第 6 章,目录服务器安全性。有关证书、证书数据库以及获取 CA 签名服务器证书的概述,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》

Procedure禁用 LDAP 端口

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 禁用 LDAP 端口。

    要禁用非安全点,您必须绑定到 LDAP 安全端口。此示例显示了与主机服务器 host1 上的默认 LDAP 安全端口 1636 的绑定。


    $ dsconf set-server-prop -h host1 -P 1636 ldap-port:disabled

  2. 重新启动服务器以使更改生效。


    $ dsadm restart /local/ds

    现在,您已不再绑定到非安全端口 1389。

选择加密密码

密码是用于加密和解密数据的算法。一般而言,密码在加密期间所使用的位数越多,加密就越严密或越安全。SSL 的密码也由所使用的消息验证类型进行标识。消息验证是计算校验和(用于保证数据完整性)的另一种算法。

当客户端初始化与服务器的 SSL 连接时,客户端和服务器必须就用于加密信息的密码达成一致。在任何双向加密过程中,双方都必须使用相同的密码。所使用的密码取决于服务器所保存的密码列表的当前顺序。服务器将选择客户端所提供的与列表中的密码相匹配的第一个密码。目录服务器的默认密码值为 all,表示基础 SSL 库支持的所有已知的安全密码。但是,您可以修改此值以便只接受特定密码。

有关目录服务器中提供的密码的详细信息,请参见《Sun Java System Directory Server Enterprise Edition 6.3 Reference》

Procedure选择加密密码

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 确保已为服务器启用 SSL。

    请参见配置 SSL 通信

  2. 查看可用的 SSL 密码。


    $ dsconf get-server-prop -h host -p port ssl-supported-ciphers
ssl-supported-ciphers  :  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
ssl-supported-ciphers  :  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
ssl-supported-ciphers  :  TLS_DHE_RSA_WITH_AES_256_CBC_SHA
ssl-supported-ciphers  :  TLS_DHE_DSS_WITH_AES_256_CBC_SHA 
...

  3. (可选的)如果要保留非加密数据的副本,请在设置 SSL 密码之前导出该数据。

    请参见导出到 LDIF

  4. 设置 SSL 密码。


    $ dsconf set-server-prop -h host -p port ssl-cipher-family:cipher

    例如,要将密码系列设置为 SSL_RSA_WITH_RC4_128_MD5 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,请键入:


    $ dsconf set-server-prop -h host1 -P 1636 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \
 ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA
Enter "cn=Directory Manager" password:  
Before setting SSL configuration, export Directory Server data. 
Do you want to continue [y/n] ? y
Directory Server must be restarted for changes to take effect.

  5. (可选的)在现有列表中添加 SSL 密码。

    如果已指定了一组密码并且要添加一个密码,请使用以下命令:


    $ dsconf set-server-prop -h host -p port ssl-cipher-family+:cipher

    例如,要添加 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 密码,请键入:


    $ dsconf set-server-prop -h host1 -P 1636 \
 ssl-cipher-family+:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

  6. 重新启动服务器以使更改生效。


    $ dsadm restart /local/ds