Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Identity Server 2004Q2 管理指南 

第 19 章
证书验证属性

证书验证属性是组织属性。在“服务配置”下证书验证属性所采用的值将成为证书验证模板的默认值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改默认值。组织属性不会被组织子树中的条目继承。证书验证属性包括:

在 LDAP 中匹配证书

该选项用于指定是否检查用户登录时提交的证书是否存储在 LDAP Server 中。如果没有找到匹配的证书,用户将被拒绝访问。如果找到匹配的证书,且不需要其他验证,则允许用户访问。在默认情况下,证书验证服务不会检查用户证书。


Directory Server 中存储的证书不一定是有效的,证书撤回列表中也可能存在该证书。请参见将证书与 CRL 匹配。但是,Web 容器可以在登录时检查用户提交的证书的有效性。


用于在 LDAP 中搜索证书的主题 DN 属性

该字段指定证书的 SubjectDN 值的属性,该属性将用于在 LDAP 中搜索证书。该属性必须唯一标识用户条目。搜索将使用实际值。默认值是 CN

将证书与 CRL 匹配

该选项用于指定是否将用户证书与 LDAP Server 中的证书撤回列表 (CRL) 进行对照。CRL 由发布者的 SubjectDN 中的其中一个属性名称来定位。如果 CRL 中存在该证书,用户将被拒绝访问;如果不存在,则允许用户继续进行操作。在默认情况下,该属性被禁用。


发生以下情况时,应该撤消证书:证书所有者的状态发生变化,不再拥有使用证书的权限;或证书所有者的专用密钥已经损坏。


用于在 LDAP 中搜索 CRL 的发送者 DN 属性

该字段指定接收到的证书的发布者 SubjectDN 值的属性,该属性将用于在 LDAP 中搜索 CRL。仅在启用“将证书与 CRL 匹配”属性时,才能使用该字段。搜索将使用实际值。默认值是 CN

用于 CRL 更新的 HTTP 参数

该字段用于指定进行 CRL 更新时从某个 servlet 获得 CRL 的 HTTP 参数。要获得这些参数,请与您的 CA 管理员联系。

启用 OCSP 验证

此参数通过与相应的 OCSP 响应器联系来启用要执行的 OCSP 验证。运行时,将按照以下步骤确定 OCSP 响应器:

如果将 com.sun.identity.authentication.ocspCheck 设置为 false,或者将 com.sum.identity.authentication.ocspCheck 设置为 true,但无法找到 OCSP 响应器,则不能执行 OCSP 验证。


在启用 OCSP 验证之前,请确保 Identity Server 计算机和 OCSP 响应器计算机的时间尽可能同步。而且,Identity Server 计算机的时间不能晚于 OCSP 响应器的时间。例如:

OCSP 响应器计算机 - 12:00:00 pm

Identity Server 计算机 - 12:00:30 pm


存储证书的 LDAP 服务器

该字段用于指定存储证书的 LDAP 服务器的名称和端口号。默认值是安装 Identity Server 时指定的主机名和端口号。可以使用存储证书的任意 LDAP 服务器的主机名和端口号。格式为:hostname:port

LDAP 起始搜索 DN

该字段指定节点的 DN,应从该节点开始搜索用户证书。该字段没有默认值。它接受任何有效的 DN。如果指定多个条目,条目前面必须带有本地服务器名称。格式如下所示:

servername|search dn

对于多个条目

servername1|search dn servername2|search dn servername3|search dn...

如果同一搜索找到多个用户,则验证失败。

LDAP Server 主要用户

该字段用于指定存储证书的 LDAP Server 的主要用户(通常是目录管理员)的 DN。该字段没有默认值,它接受任何有效的 DN。需要向主要用户授予读取和搜索 Directory Server 中存储的信息的权限。

LDAP Server 主要口令

该字段用于指定与“LDAP Server 主要用户”字段中指定的用户相关联的 LDAP 口令。该字段没有默认值,它接受指定主要用户的有效 LDAP 口令。


目录中该值将存储为可读文本。


配置文件 ID 的 LDAP 属性

该字段用于指定 Directory Server 条目中与证书匹配的属性,其值将用于标识正确的用户配置文件。该字段不存在默认值,它接受用户条目中能够用作用户 ID 的任何有效属性(例如 cnsn 等)。

使用 SSL 进行 LDAP 访问

该选项用于指定是否使用 SSL 来访问 LDAP 服务器。在默认情况下,证书验证服务不使用 SSL 来访问 LDAP 服务器。

用于访问用户配置文件的证书字段

该菜单指定应使用证书的“主题 DN”中的哪个字段来搜索匹配的用户配置文件。例如,如果选择 email address,证书验证服务将搜索与用户证书中 emailAddr 属性匹配的用户配置文件。用户将使用匹配的配置文件进行登录。默认字段是 subject CN。该列表包含以下内容:

用于访问用户配置文件的其他证书字段

如果将“用于访问用户配置文件的证书字段”属性的值设置为 other,则该字段指定将从接收到的证书的 subjectDN 值中选择的属性。验证服务将搜索与该属性值匹配的用户配置文件。

可信赖的远程主机

该属性定义可信赖的主机列表,这些主机是可信赖的,可以向 Identity Server 发送证书。Identity Server 必须检验证书是否是由这些主机中的某一台发送的。此配置仅与 Sun Java System Portal Server 一起使用。

此属性接受以下值:

SSL 端口号

该属性指定安全套接字层的端口号。目前,该属性只由网关 servlet 使用。在添加或更改 SSL 端口号之前,请参见《Identity Server Developer's Guide》第 7 章中的“Policy-Based Resource Management”一节。

验证级别

各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到必需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。默认值为 0


如果未指定任何验证级别,核心验证属性“默认验证级别”中指定的值将会存储到 SSO 令牌中。有关详细信息,参见默认验证级别。对于 2004Q2 发行版,此功能无法正常执行。但在先前的版本中,此功能可正常执行。




上一页      目录      索引      下一页     


版权所有 2004 Sun Microsystems, Inc. 保留所有权利。