Sun Java System Messaging Server 6 2005Q4 管理指南

通过管理控制台获得证书

无论将 SSL 用于加密还是用于验证,都需要获得服务器证书以用于 Messaging Server。此证书可使您的服务器区别于客户机和其他服务器。如果要通过管理控制台获得证书,请按本节中的步骤执行操作。如果要在命令行模式中创建自签名证书,请参见创建自签名证书

管理内部模块和外部模块的步骤

服务器证书建立了密钥对的拥有权和有效性,编号则用于加密和解密数据。服务器的证书和密钥对代表了服务器的标识。证书和密钥对都存储在证书数据库中,此数据库可以内置于服务器中或位于外部的可移动硬件插卡(智能卡)上。

Sun Java System 服务器使用遵循公共密钥密码学系统 (Public-Key Cryptography System, PKCS) #11 API 的模块来访问密钥和证书数据库。通常可以从给定硬件设备的供应商那里获得此设备的 PKCS #11 模块,并且必须将此模块安装到 Messaging Server 之后,Messaging Server 才能使用此设备。预先安装的“Netscape 内部 PKCS # 11 模块”支持单个内部软件标记(使用服务器的内部证书数据库)。

对证书设置服务器包括为证书及其密钥创建数据库以及安装 PKCS #11 模块。如果未使用外部硬件标记,则请在服务器中创建内部数据库并使用作为 Messaging Server 一部分的此内部默认模块。如果使用了外部标记,则请连接硬件智能卡阅读器并安装其 PKCS #11 模块。

您可以通过控制台管理 PKCS #11 模块,无论此模块是内部模块还是外部模块。要安装 PKCS #11 模块,请执行以下操作:

  1. 将硬件插卡阅读器连接到 Messaging Server 主机计算机并安装驱动程序。

  2. 使用控制台中的“PKCS #11 管理”界面为已安装的驱动程序安装 PKCS #11 模块。

(有关更完整的说明,请参见 Managing Servers with iPlanet Console 中有关 SSL 的章节。)

安装硬件加密加速器。如果将 SSL 用于加密,则安装硬件加密加速器可能会改进服务器加密和解密邮件时的性能。加密加速器通常由永久地安装在服务器计算机中的硬件板和软件驱动程序组成。Messaging Server 支持遵循 PKCS #11 API 的加速器模块。(它们是基本的硬件标记,并不存储自己的密钥;而是使用内部数据库来存储。)首次安装由生产商指定的硬件和驱动程序时即安装了加速器,然后通过安装 PKCS #11 模块完成加速器的安装(同时使用硬件证书标记)。

Procedure请求服务器证书的步骤

在控制台中打开服务器并运行“证书设置向导”可以请求服务器证书。您可以从“控制台”菜单或从“Messaging Server 加密”选项卡访问此向导。使用此向导可以执行以下任务:

步骤
  1. 生成证书请求。

  2. 通过电子邮件将请求发送到要颁发证书的证书授权机构 (CA)。

    来自 CA 的电子邮件响应到达后,将此电子邮件保存为文本文件并使用“证书设置向导”安装此文件。

    (有关更完整的说明,请参见 Managing Servers with iPlanet Console 中有关 SSL 的章节。)

Procedure安装证书的步骤

安装是一个与请求不同的过程。来自 CA 的响应您的证书请求的电子邮件到达并将其保存为文本文件后,请再次运行“证书设置向导”以安装作为证书的文件:

步骤
  1. 指定您已经获得的要安装的证书。

  2. 系统提示将证书的文本粘贴到字段中时,执行此操作。

  3. 将证书昵称从 server-cert 更改为 Server-Cert

    如果您不想更改证书昵称,则可以通过设置 configutil 参数 encryption.rsa.nssslpersonalityssl 来更改系统所需的证书昵称的形式。

    (有关更完整的说明,请参见 Managing Servers with iPlanet Console 中有关 SSL 的章节。)


    注 –

    这也是安装 CA 证书(下面将介绍)应遵循的过程,服务器将使用此证书确定是否相信客户机所递交的证书。


安装信任的 CA 证书的步骤

还要使用“证书设置向导”安装证书授权机构的证书。CA 证书可验证 CA 自身的标识。您的服务器在验证客户机和其他服务器的过程中使用这些 CA 证书。

例如,如果除了基于密码的验证之外,您还将您的企业设置为基于证书的客户端验证(请参见第 157 页中的“设置基于证书的登录”),则需要安装所有 CA(可以信任这些 CA 颁发将在客户端显示的证书)的 CA 证书。这些 CA 对于您的组织可能是内部 CA 也可能是外部 CA,代表了商业机构或政府机构或其他企业。(有关将 CA 证书用于验证的详细信息,请参见 Managing Servers with iPlanet Console 中的 Introduction to Public-Key Cryptography。)

安装后,Messaging Server 初始包含了若干商业 CA 的 CA 证书。如果您需要添加其他商业 CA 或者如果您的企业正在制定(使用 Sun Java System Certificate Server)自己的 CA 以在内部使用,则需要获得并安装其他 CA 证书。


注 –

随 Messaging Server 自动提供的 CA 证书对客户机证书并未初始标记为信任。如果您想要信任由这些 CA 颁发的客户机证书,则需要编辑信任设置。有关说明,请参见第 153 页中的“管理证书和信任的 CA”。


要请求并安装新的 CA 证书,您需要执行以下操作:

Procedure请求和安装新的 CA 证书

步骤
  1. 与证书授权机构(可通过 Web 或电子邮件)联系并下载该机构的 CA 证书。

  2. 将已接收的证书文本保存为文本文件。

  3. 使用“证书设置向导”(如前面小节所述)安装此证书。

    有关更完整的说明,请参见 Managing Servers with iPlanet Console 中有关 SSL 的章节。

管理证书和信任的 CA

您的服务器可以将信任的 CA 的任何编号的证书用于验证客户机。

通过在控制台中打开您的服务器并在“控制台”菜单中选择“证书管理命令”,您可以查看、编辑 Messaging Server 中所安装的证书的信任设置或删除任何证书。有关说明,请参见 Managing Servers with iPlanet Console 中有关 SSL 的章节。

创建密码文件

在所有 Sun Java System 服务器上,当使用“证书设置向导”请求证书时,向导将创建一个密钥对,并将其存储在内部模块的数据库中或外部数据库(在智能卡上)中。然后此向导将提示您提供密码,此密码用于加密专用密钥。仅此相同密码以后才可以用于解密密钥。此向导不保留密码也不在任何位置存储此密码。

在大多数为其启用了 SSL 的 Sun Java System 服务器上,在启动时系统都提示管理员提供解密密钥对所需的密码。但是,在 Messaging Server 上,为了缓解必须多次(至少在三个服务器进程中需要)输入密码带来的不便,并方便无人看管的服务器重新启动,可以从密码文件读取密码。

此密码文件的名称为 sslpassword.conf,并位于 msg_svr_base/config/ 目录中。文件中的条目是具有以下格式的单独行

moduleName:password

其中 moduleName 是要使用的内部或外部 PKCS #11 模块的名称,password 则是解密此模块的密钥对的密码。此密码以明(不加密的)文存储。

Messaging Server 提供了默认版本的密码文件,具有以下单个条目(适用于内部模块和默认密码):

Internal (Software) Token:netscape!

如果安装内部认证时指定的不是默认密码,则需要编辑密码文件的上述行以反映您指定的密码。如果安装外部模块,则需要将一个新的行添加到文件中,该行包含模块名称和您为此模块指定的密码。


注意 – 注意 –

因为系统未在服务器启动时提示管理员提供模块密码,所以确保管理员控制对服务器的正常访问以及服务器主机及其备份的正常物理安全性是极为重要的。