|
| |
| Sun Java System Identity Server 2004Q2 管理指南 | |
第 3 章
在 SSL 模式中配置 Identity Server将安全套接字层 (SSL) 和简单验证结合使用可以保证数据的保密性和完整性。要在 SSL 模式下启用 Identity Server,通常需要执行以下操作:
以下各部分将介绍这些步骤:
使用安全 Sun Java System Web Server 配置 Identity Server要使用 Sun Java System Web Server 在 SSL 模式下配置 Identity Server,参见以下步骤:
步骤 2 至步骤 25 对 Sun Java System Web Server 进行了说明。
- 登录到 Web Server 控制台。默认端口为 58888。
- 选择运行 Identity Server 的 Web Server 实例并单击“管理”。
将显示一个弹出窗口,说明配置已更改。单击“确定”。
- 单击屏幕右上角的“应用”按钮。
- 单击“应用设置”。
Web Server 应当会自动重新启动。单击“确定”继续。
- 停止选定的 Web Server 实例。
- 单击“安全”选项卡。
- 单击“创建数据库”。
- 输入新数据库口令并单击“确定”。
请务必将数据库口令记下来,以备将来使用。
- 创建证书数据库后,单击“请求证书”。
- 在屏幕上的字段中输入数据。
在“密钥对字段口令”字段中输入您在步骤 9 中输入的口令。在“位置”字段中输入位置的完整拼写。不能输入缩写(例如 CA)。必须定义所有字段。在“公共名称”字段中,输入您的 Web Server 的主机名。
- 提交表单后,您将看到如下消息:
--BEGIN CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE REQUEST--
- 复制并为证书请求提交该文本。
确保您获取的是根 CA 证书。
- 您将收到一个包含证书的证书响应,例如:
--BEGIN CERTIFICATE---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE---
- 将这些文本复制到剪贴板或保存到文件中。
- 转到 Web Server 控制台并单击“安装证书”。
- 单击该服务器的“证书”。
- 在“密钥对文件口令”字段中,输入证书数据库口令。
- 将证书粘贴到提供的文本字段中或选中单选按钮,并在文本框中输入文件名。单击“提交”。
浏览器将显示证书,并提供用于添加证书的按钮。
- 单击“安装证书”。
- 单击“信任的证书授权机构的证书”。
- 安装完这两种证书后,单击 Web Server 控制台中的“首选项”选项卡。
- 如果要在其他端口上启用 SSL,请选择“添加侦听套接字”。然后,选择“编辑侦听套接字”。
- 将安全状态从“已禁用”改为“已启用”,并单击“确定”以提交所作的更改。
步骤 26 至步骤 28 对 Identity Server 进行了说明。
- 打开 AMConfig.properties 文件。默认情况下,该文件位于 etc/opt/SUNWam/config 中。
- 将出现的所有 http:// 协议替换为 https:// 协议(除了 Web Server 实例目录)。还要在文件 AMConfig.properties 中进行指定,但是必须保持相同。
- 保存 AMConfig.properties 文件。
- 在 Web Server 控制台中,单击 Web Server 实例所属的 Identity Server 的“开/关”按钮。
Web Server 将在“启动/停止”页面中显示一个文本框。
- 在文本字段输入证书数据库口令并选择“启动”。
使用安全 Sun Java System Application Server 配置 Identity Server可以通过以下两个步骤设置 Identity Server,使其在启用了 SSL 的 Sun Java System Application Server 上运行。首先,使 Application Server 实例对于已安装的 Identity Server 来说是安全的,然后配置 Identity Server 本身。
将 Application Server 设置为具有 SSL
要保证 Application Server 实例的安全性:
- 在浏览器中输入以下地址,以管理员身份登录到 Sun Java System Application Server 控制台:
http://fullservername:port
默认端口为 4848。
- 输入在安装过程中输入的用户名和口令。
- 选择已在(或将在)其上安装 Identity Server 的 Application Server 实例。右侧框中显示配置已更改。
- 单击“应用更改”。
- 单击“重新启动”。Application Server 将自动重新启动。
- 在左侧框中,单击“安全”。
- 单击“管理数据库”选项卡。
- 如果未选择数据库,则单击“创建数据库”。
- 输入新数据库口令并予以确认,然后单击“确定”按钮。请确保记下数据库口令,以备将来使用。
- 创建证书数据库后,单击“证书管理”选项卡。
- 如果未选择证书,则单击“请求”链接。
- 为证书输入以下请求数据
- 如果该证书为新证书或证书更新,则选择该证书。许多证书在经过特定的一段时间之后会过期,一些证书授权机构 (CA) 会自动给您发送更新通知。
- 指定您要提交证书请求的方式。
如果 CA 要求接收电子邮件形式的请求,请查看 CA 电子邮件,然后输入 CA 的电子邮件地址。要查看 CA 的列表,请单击“可用的证书授权机构列表”。
如果是向使用 Sun Java System Certificate Server 的内部 CA 请求证书,请单击“CA URL”,然后输入 Certificate Server 的 URL。该 URL 应该指向 Certificate Server 的处理证书请求的程序。
- 输入密钥对文件的口令(即您在步骤 9 中指定的口令)。
- 输入以下标识信息:
公共名称。服务器的全名,包括端口号。
请求者姓名。请求者的姓名。
电话号码。请求者的电话号码。
公共名称。将要在其上安装数字证书的 Sun Java System Application Server 的全限定名称。
电子邮件地址。管理员的电子邮件地址。
组织名称。您的组织的名称。证书授权机构可能要求该属性中输入的所有主机名都属于某个已注册到该组织的域。
组织单位名称。组织的部门或其他运作单位的名称。
位置名称(城市)。城市或城镇的名称。
州名。如果您的组织位于美国或加拿大,则分别指组织所在的州或省的名称。请不要使用缩写。
国家/地区代码。您所在国家/地区的两个字母的 ISO 代码。例如,美国的代码是 US。
- 单击“确定”按钮。系统将显示一条消息,例如:
--BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--
- 将该文本的所有内容复制到一个文件,然后单击“确定”。确保您获取的是根 CA 证书。
- 选择一个 CA,然后按照该机构的 Web 站点上的说明获取数字证书。您可以从 CMS、Verisign 或 Entrust.net 获取证书。
- 收到来自证书授权机构的数字证书后,您可以将文本复制到剪贴板或保存到文件中。
- 转到 Sun Java System Application Server 控制台,然后单击“安装”链接。
- 为该服务器选择证书。
- 在“密钥对文件口令”字段中,输入证书数据库口令。(该口令与您在步骤 9 中输入的口令相同。)
- 将证书粘贴到所提供的“消息文本(带标题)”文本字段中,或在该文件文本框中的“消息”字段中输入文件名。选择相应的单选按钮。
- 单击“确定”按钮。浏览器将显示证书,并提供用于添加证书的按钮。
- 单击“添加服务器证书”。
- 证书安装都完成后,请展开左框中的“HTTP 服务器”节点。
- 选择“HTTP 服务器”下的“HTTP 侦听器”。
- 选择“http-listener-1”。浏览器将显示套接字信息。
- 将 http-listener-1 使用的端口值从安装 Application Server 时输入的值更改为一个更合适的值,如 443。
- 选择“启用 SSL/TLS”。
- 选择“证书昵称”。
- 指定返回服务器。该名称应该与在步骤 12 中指定的公共名称匹配。
- 单击“保存”。
- 选择将要在其上安装 Sun Java System Identity Server 软件的 Application Server 实例。右侧框中显示配置已更改。
- 单击“应用更改”。
- 单击“重新启动”。Application Server 将自动重新启动。
在 SSL 模式中配置 Identity Server
要在 SSL 模式中配置 Identity Server:
- 在 Identity Server 控制台中,转到“服务配置”模块并选择“平台”服务。在“服务器列表”属性中,添加 HTTPS 协议格式的相同 URL 和启用 SSL 的端口号。单击“保存”。
注
如果有一个 Identity Server 实例正在侦听两个端口(其中一个为 Http 模式,另一个为 Https 模式),当您试图利用迟延的 cookie 访问 Identity Server 时,Identity Server 将转为无响应状态。不支持此配置。
- 从以下默认位置打开 AMConfig.properties 文件:
/etc/opt/SUNWam/config。
- 将出现的所有 http:// 协议替换为 https:// 协议,并将端口号更改为启用 SSL 的端口号。
- 保存 AMConfig.properties 文件。
- 重新启动 Application Server。
在 SSL 模式中配置 Identity Server 至 Directory Server为确保通过网络提供安全通信,Identity Server 中包括 LDAPS 通信协议。LDAPS 是标准的 LDAP 协议,但它在“安全套接字层”(SSL) 上运行。为了启用 SSL 通信,必须首先在 SSL 模式下配置 Directory Server,然后将 Identity Server 连接到 Directory Server。基本步骤如下:
在 SSL 模式中配置 Directory Server
为在 SSL 模式下配置 Directory Server,必须获得并安装服务器证书、将 Directory Server 配置为信任 CA 的证书并且启用 SSL。有关如何完成这些任务的详细说明,参见《Directory Server 管理指南》的第 11 章“管理验证和加密”。可在以下位置找到此文档:
还可从以下位置下载此手册的 PDF:
http://docs.sun.com/coll/DirectoryServer_04q2 及 http://docs.sun.com/coll/DirectoryServer_04q2_zh
如果 Directory Server 已经启用 SSL,请转到下一部分,以查看有关将 Identity Server 连接到 Directory Server 的详细说明。
将 Identity Server 连接到启用 SSL 的 Directory Server
在 SSL 模式下配置完 Directory Server 以后,需要将 Identity Server 安全地连接到 Directory Server 后端。为此,请执行以下步骤: