test

Sun Java System Directory Server Enterprise Edition 6.3 管理指南

创建、请求和安装目录代理服务器的证书

要在目录代理服务器上运行安全套接字层 (Secure Sockets Layer, SSL),必须使用自签名证书或公钥基础结构 (Public Key Infrastructure, PKI) 解决方案。

PKI 解决方案需要使用外部证书颁发机构 (Certificate Authority, CA)。要使用 PKI 解决方案,您需要包含公钥和私钥的 CA 签名服务器证书。此证书特定于一个目录代理服务器实例。此外,还需要包含公钥的可信 CA 证书。可信 CA 证书可确保来自 CA 的所有服务器证书都是可信的。此证书有时称为 CA 根密钥或根证书。

有关如何创建非默认的自签名证书,以及如何请求和安装 CA 签名证书的信息,请参见以下过程。

Procedure创建非默认的目录代理服务器自签名证书

在创建目录代理服务器实例时,将自动提供默认的自签名证书。如果要使用非默认设置创建自签名证书,请执行以下过程。

此过程将为服务器证书创建公钥/私钥对,其中公钥由目录代理服务器签名。自签名证书的有效期为三个月。

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 要创建非默认的目录代理服务器自签名证书,请键入:


    $ dpadm add-selfsign-cert instance-path cert-alias

    其中 cert-alias 是自签名证书的名称。

    例如,可以按如下方式创建一个名为 my-self-signed-cert 的证书:


    $ dpadm add-selfsign-cert /local/dps my-self-signed-cert

    有关所有命令选项的描述,请参见 dpadm(1M) 手册页,或者在命令行中键入 dpadm add-selfsign-cert --help

Procedure请求目录代理服务器的 CA 签名证书

自签名证书对于测试非常有用。但是在生产环境中,使用可信证书颁发机构 (Certificate Authority, CA) 颁发的证书会更加安全。

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 请求 CA 签名的服务器证书。


    $ dpadm request-cert instance-path cert-alias

    其中 cert-alias 是要请求的证书的名称。证书颁发机构可能需要该命令的所有选项以识别服务器。有关所有命令选项的描述,请参见 dpadm(1M) 手册页。

    用于获取 CA 证书的过程取决于所使用的 CA。某些商业CA 会提供一个允许您从中下载证书的 Web 站点,某些 CA 则会以电子邮件的方式将证书发送给您。

    例如,可以请求一个名为 my-CA-signed-cert 的证书,如下所示:


    $ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3
DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ
PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5
W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA
fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ
g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6
zwbn2EmIpjHzETtS5Nk=
-----END NEW CERTIFICATE REQUEST-----

    使用 dpadm request-cert 命令请求证书时,此证书请求是保密性增强的电子邮件 (Privacy Enhanced Mail, PEM) 格式的 PKCS #10 证书请求。 PEM 是由 RFC 1421 至 1424 指定的格式。有关详细信息,请参见 http://www.ietf.org/rfc/rfc1421.txt。PEM 格式表示 ASCII 格式的 base64 编码的证书请求。

    请求 CA 签名的证书时,将创建一个临时的自签名证书。收到并安装来自 CA 的 CA 签名证书时,新证书将取代临时的自签名证书。

  2. 按照程序将证书请求发送给 CA。

    发送请求之后,您必须等待 CA 对请求做出响应,即提供您的证书。请求的响应时间会有所不同。例如,如果 CA 在您的公司内部,则响应时间可能很短。但是,如果 CA 在公司外部,则 CA 可能需要几个星期才能响应您的请求。

  3. 保存从 CA 收到的证书。

    以文本文件的形式保存证书,并将此证书备份到安全位置。

Procedure安装目录代理服务器的 CA 签名服务器证书

要信任 CA 签名的服务器证书,必须在目录代理服务器实例上安装此证书。此过程将 CA 证书的公钥安装到目录代理服务器上的证书数据库中。

可使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 查看是否已安装此 CA 的可信 CA 证书。

    要执行此操作,请列出所有已安装的 CA 证书,如列出 CA 证书所述。

  2. 如果未安装可信 CA 证书,请将其添加到目录代理服务器实例上的证书数据库中。


    $ dpadm add-cert instance-path cert-alias cert-file

    其中 cert-alias 是可信 CA 证书的名称,cert-file 是包含可信 CA 证书的文件的名称。

  3. 将 CA 签名的服务器证书安装到证书数据库中。


    $ dpadm add-cert instance-path cert-alias cert-file

    其中 cert-alias 是 CA 签名服务器证书的名称,cert-file 是包含 CA 签名服务器证书的文件的名称。请注意,cert-alias 必须与证书请求中所使用的 cert-alias 相同。

    例如,可以按如下方式将名为 CA-cert 的 CA 签名服务器证书添加到 /local/dps 上的证书数据库中:


    $ dpadm add-cert /local/dps CA-cert /local/safeplace/ca-cert-file.ascii