建立可信任的資料庫
在請求伺服器憑證之前,您必須建立信任資料庫。在 Proxy Server 中,Administration Server 和每個伺服器實例都可以擁有自己的信任資料庫。信任資料庫只能在本機電腦上建立。
建立信任資料庫時,您需要指定用於金鑰組檔案的密碼。您還需要此密碼來啟動使用加密通訊的伺服器。如需有關選擇密碼時應考量的準則清單,請參閱選擇增強式密碼。
您在信任資料庫中所建立並儲存的公開金鑰和私密金鑰,稱為金鑰組檔案。金鑰組檔案可用於 SSL 加密。在請求並安裝伺服器憑證時,您需要用到該金鑰組檔案。安裝憑證之後,會將憑證儲存在可信任的資料庫中。
金鑰組檔案會以加密形式儲存於下列目錄中。
server-root/alias/proxy-serverid-key3.db
Administration Server 只能有一個信任資料庫。每個伺服器實例都可以擁有自己可信任的資料庫。
建立信任資料庫
-
存取 Administration Server 或 Server Manager,然後按一下 [Security] 標籤。
-
按一下 [Create Database] 連結。
-
鍵入信任資料庫的密碼。
-
再次鍵入密碼並按一下 [OK]。
使用 password.conf
依預設,Proxy Server 會在啟動前,提示管理員鍵入金鑰資料庫密碼。若要重新啟動無人看管狀態的 Proxy Server,您必須將密碼儲存在 password.conf 檔案中。僅當您的系統受到適當保護時才能這樣做,以免洩漏該檔案和金鑰資料庫。
一般而言,您無法以 /etc/ rc.local 或 /etc/inittab 檔案啟動 UNIX 上啟用 SSL 的伺服器,因為該伺服器首先需要密碼,然後才能啟動。儘管將密碼以一般文字格式儲存在檔案中,即可自動啟動啟用 SSL 的伺服器,但是這種方法並不安全。伺服器的 password.conf 檔案應為超級使用者或安裝伺服器的使用者所擁有,並且只能讓所有者讀取和寫入。
在 UNIX 上,將啟用 SSL 的伺服器密碼保留在 password.conf 檔案中會帶來很大的安全性風險。任何能夠存取檔案的人,都能存取啟用 SSL 的伺服器密碼。將啟用 SSL 的伺服器密碼保留在 password.conf 檔案中之前,請考量可能帶來的安全性風險。
在 Windows 上,若您有 NTFS 檔案系統,即使您不使用 password.conf 檔案,也應限制存取內含該檔案的目錄以保護此目錄。Administration Server 使用者和 Proxy Server 使用者應該具有該目錄的讀取和寫入權限。保護該目錄可以防止其他使用者建立假的 password.conf 檔案。您無法藉由限制存取的方式,保護 FAT 檔案系統上的目錄或檔案。
自動啟動啟用 SSL 的伺服器
自動啟動啟用 SSL 的伺服器
- © 2010, Oracle Corporation and/or its affiliates