设置基于证书的登录的步骤

步骤

1. 为您的服务器获取服务器证书。（有关详细信息，请参见通过管理控制台获得证书

2. 运行“证书设置向导”以安装所有信任的证书授权机构的证书，这些证书授权机构将向服务器要验证的用户颁发证书。（有关详细信息，请参见安装信任的 CA 证书的步骤

   请注意，只要服务器的数据库中至少有一个信任的 CA，服务器就会要求每个连接的客户端提供客户端证书。

3. 打开 SSL。（有关详细信息，请参见启用 SSL 并选择加密算法的步骤

4. （可选）编辑服务器的 certmap.conf 文件以便服务器根据提交的证书中的信息来搜索相应的 LDAP 用户目录。

   如果用户的证书中的电子邮件地址与用户的目录条目中的电子邮件地址相匹配，则不必编辑 certmap.conf 文件，并且无需针对用户条目中的证书优化搜索或验证已提交的证书。

   有关 certmap.conf 的格式和可以进行的更改的详细信息，请参见 Managing Servers with iPlanet Console 中的 SSL 一章。

   执行这些步骤后，当客户端建立一个 SSL 会话以便用户可以登录到 IMAP 或 HTTP 时，Messaging Server 会要求客户端提供用户证书。如果客户机所提交的证书由服务器建立为信任的 CA 颁发，并且如果证书中的标识与用户目录中的一项相匹配，则用户经过验证并被授予访问权限（取决于管理该用户的访问控制规则）。

   无需禁用基于密码的登录即可启用基于证书的登录。如果允许基于密码的登录（此为默认状态），并且您已经执行了本节中说明的任务，则同时支持基于密码的和基于证书的登录。在这种情况下，如果客户机建立 SSL 会话并提供证书，则使用基于证书的登录。如果客户机未使用 SSL 或未提供证书，则服务器会要求提供密码。