从先前版本迁移证书

从 Sun ONE Web Proxy Server 3.6（也称为 iPlanet Web Proxy Server）迁移到 Sun Java System Web Proxy Server 4 时，将会自动更新相应的文件（包括信任数据库和证书数据库）。

确保 Proxy Server 4 Administration Server 拥有旧 3.x 数据库文件的读取权限。这些文件是位于 3.x-server-root/alias 目录中的 alias-cert.db 和 alias-key.db。

只有对服务器启用了安全保护时，才可以迁移密钥对文件和证书。您也可以使用 Administration Server 和 Server Manager 的 "Security" 选项卡中的 "Migrate 3.x Certificates" 选项自动迁移密钥和证书。有关特定设置的信息，请参见联机帮助。

在以前的版本中，证书和密钥对文件由别名引用，该别名可以由多个服务器实例使用。Administration Server 管理所有的别名及其委托证书。在 Sun Java System Web Proxy Server 4 中，Administration Server 和每个服务器实例都有自己的证书和密钥对文件，称为信任数据库而不是别名。

从 Administration Server 可以为其本身管理信任数据库及其委托证书，从 Server Manager 可以为服务器实例管理信任数据库及其委托证书。证书和密钥对数据库文件按使用它们的服务器实例命名。如果是在以前的版本中，多个服务器实例共享同一个别名，迁移时将为新服务器实例重命名证书和密钥对文件。

与服务器实例关联的整个信任数据库将被迁移。以前数据库中列出的所有 CA 将被迁移到 Proxy Server 4 数据库。如果出现重复的 CA，请使用以前的 CA，直到它过期。请不要尝试删除重复的 CA。

Proxy Server 3.x 证书将被迁移为支持的网络安全服务 (Network Security Services, NSS) 格式。证书将根据是从 Administration Server 还是从 Server Manager 的 "Security" 选项卡访问了 Proxy Server 页面，来进行相应命名。

迁移证书

1. 从本地计算机访问 Administration Server 或 Server Manager，然后选择 "Security" 选项卡。

2. 单击 "Migrate 3.x Certificates" 链接。

3. 指定安装 3.6 版服务器的根目录。

4. 指定此计算机的别名。

5. 键入管理员密码，然后单击 "OK"。

使用内置根证书模块

Proxy Server 附带的动态可加载根证书模块包含许多 CA（包括 VeriSign）的根证书。通过根证书模块，可以更容易地将根证书升级到更高的版本。以前，您需要逐个删除旧的根证书，然后再逐个安装新的证书。要安装常用的 CA 证书，现在可以只将根证书模块文件更新到更高的版本，因为它在以后版本的 Proxy Server 中将可用。

由于根证书是作为 PKCS #11 加密模块实现的，因此您将永远无法删除该模块包含的根证书。管理这些证书时，不会提供用于删除的选项。要删除服务器实例的根证书，可通过删除服务器的 alias 目录中的以下条目来禁用根证书模块。

• libnssckbi.so（在大多数 UNIX 平台上）

• nssckbi.dll（在 Windows 上）

如果要恢复根证书模块，可以将 libnssckbi.so 或 nssckbi.dll 从 server-root/bin/proxy/lib (UNIX) 或 server-root\\ bin\\proxy\\bin (Windows) 复制到 alias 子目录中。

可以修改根证书的信任信息。信任信息将写入编辑的服务器实例的证书数据库中，而不是返回根证书模块本身。