SSL 验证

使用安全性证书，服务器可以用两种方式确认用户的身份：

• 使用客户机证书中的信息作为身份的证明

• 验证 LDAP 目录中发布的客户机证书（附加验证）

如果将服务器配置为使用证书信息进行客户机验证，服务器会执行以下操作：

• 进行检查以确定证书是否来自信任的 CA（Certificate Authority，证书授权机构）。如果不是，验证将失败，事务也将结束。要了解如何启用客户机验证，请参见设置安全性首选项。

• 如果证书来自信任的 CA，则使用 certmap.conf 文件将证书映射到用户的条目中。要了解如何配置证书映射文件，请参见使用 certmap.conf 文件。

• 如果证书正确进行了映射，则检查为该用户指定的 ACL 规则。即使证书正确进行了映射，ACL 规则也可能会拒绝该用户的访问。

为控制对特定资源的访问而要求进行客户机验证和要求对与服务器的所有连接进行客户机验证是不同的。如果将服务器配置为要求对所有连接进行客户机验证，则客户机只需要提供由信任的 CA 颁发的有效证书。如果将服务器配置为使用 SSL 方法进行用户和组验证，则必须执行以下操作：

• 客户机必须提供由信任的 CA 颁发的有效证书

• 证书必须映射到 LDAP 中的有效用户

• 访问控制列表必须进行正确评估

如果需要对访问控制进行客户机验证，必须针对 Proxy Server 启用 SSL 加密。有关启用 SSL 的更多信息，请参见第 5 章。

要成功访问要求进行 SSL 验证的资源，客户机证书必须来自 Proxy Server 信任的 CA。如果 Proxy Server 的 certmap.conf 文件被配置为将浏览器中的客户机证书与目录服务器中的客户机证书相比较，则必须在该目录服务器中发布客户机证书。不过，certmap.conf 文件也可以配置为仅将证书中的选定信息与目录服务器条目进行比较。例如，您可以将 certmap.conf 配置为仅将浏览器证书中的用户 ID 和电子邮件地址与目录服务器条目进行比较。有关 certmap.conf 和证书映射的更多信息，请参见第 5 章。另请参见《Sun Java System Web Proxy Server 4.0.8 Configuration File Reference》。