test

Sun Java System Web Server 7.0 管理員指南

管理憑證

請求憑證

憑證是由數位資料組成,這些資料將指定個人、公司或其他實體的名稱,並證明憑證中包含的公開金鑰屬於該個人。啟用 SSL 的伺服器必須擁有憑證,但用戶端不一定要有憑證。

憑證由憑證授權單位或 CA 核發並以數位方式簽署。CA 可以是透過網際網路出售憑證的公司,也可以是負責為企業內部網路或企業間網路核發憑證的部門。您可以決定將充分信任的 CA 做為驗證其他使用者身份的機構。

您可以請求憑證並將憑證提交至憑證授權單位 (CA)。如果您的公司有自己的內部 CA,則可以向其請求憑證。如果計劃從商業 CA 購買憑證,請選擇一個 CA 並詢問其所需資訊的特定格式。您也可以為伺服器建立自我簽署的憑證。自我簽署的憑證不適用於連到網際網路的部署,但是對於開發和測試則非常有用,因為可讓您設定測試伺服器而無須 CA 介入。

如上文所述,憑證包括實體 (此案例中為 Web 伺服器) 的公開金鑰。公開金鑰是根據特定的演算法產生 (憑證中內建演算法類型程式碼)。下一節將提供 Web 伺服器所支援的金鑰演算法類型的背景說明。

Procedure請求憑證

  1. 按一下 [伺服器憑證] 標籤 > [請求] 按鈕。

  2. 選取配置

    從配置清單中選取您要為其安裝憑證的配置。

  3. 選取記號

    選取包含金鑰的記號 (加密裝置)。如果金鑰儲存在由 Sun Java System Web Server 7.0 維護的本機金鑰資料庫中,請選擇 [內部]。如果金鑰儲存在智慧卡或其他外部裝置或引擎中,請從下拉式清單方塊中選擇外部記號的名稱。輸入所選記號的密碼。

  4. 輸入詳細資訊

    開始請求程序之前,請確保您已瞭解 CA 所需的資訊。無論是向商業 CA 還是向內部 CA 請求伺服器憑證,您都需要提供以下資訊:

    • 伺服器名稱必須是 DNS 查詢中使用的完全合格的主機名稱 (例如 www.sun.com)。這是瀏覽器連線至您網站所使用的 URL 中的主機名稱。如果這兩個名稱不相符,則會通知用戶端憑證名稱與網站名稱不相符,由此懷疑憑證的可信賴性。

      如果要從內部 CA 請求憑證,則也可以在此欄位中輸入萬用字元或常規表示式。大多數供應商將不會核准為一般名稱輸入萬用字元或常規表示式的憑證請求。

    • [組織] 是指公司、教育機構、夥伴等的正式、合法名稱。大多數 CA 都要求您提出法律文件 (如營業執照副本) 來驗證此資訊。

    • [組織單位] 為可選欄位,說明公司內部的組織。也可以用於標註不太正式的公司名稱 (不帶 Inc.Corp. 等的名稱)。

    • [地區] 為可選欄位,通常用於說明組織所在城市和公國。

    • [州或省] 為選擇性欄位。

    • [國家/地區] 是您所在國家/地區名稱的兩個字元縮寫 (ISO 格式)。美國的國家代碼為 US。

    所有這些資訊組合成稱為辨別名稱 (DN) 的一系列「屬性-值」對,由此形成憑證的主體。

  5. 選擇憑證選項

    需要您提供金鑰資訊。對於金鑰類型,您可以選擇 RSA 或 ECC。如果金鑰類型為 RSA,則金鑰大小可以為 1024、2048 或 4098。如果您的金鑰類型為 ECC,則還需要選取曲線。請記住,產生新的金鑰對需要花費一些時間。金鑰長度越長,精靈產生金鑰所需的時間便越長。

    注意 – 注意 –

    請確定選取 CA (您稍後要向其提交請求以進行簽署) 可以支援的金鑰類型。

  6. 選取憑證類型

    為憑證選取憑證簽署授權單位 (CSA) (是自我簽署或由 CA 簽署)。如果選取自我簽署的憑證,則還可以將憑證與 HTTP 偵聽程式建立關聯。您也可以稍後再執行此動作。

  7. 產生請求

    如果是 CA 簽署的憑證,則產生的憑證請求將為 ASCII 格式。如果是自我簽署的憑證,則會直接進行安裝。如果是自我簽署的類型,請提供暱稱、有效期 (月數) 以及 HTTP 偵聽程式名稱的值,以便處理安全請求。

  8. 檢視結果

    此頁面為您提供了所選選項的摘要。按一下 [完成] 可完成請求產生過程。

    備註 –

    使用 CLI

    若要透過 CLI 請求憑證,請執行以下指令。


    wadm> create-cert-request --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 --server-name=servername.org 
--org=sun --country=ABC --state=DEF --locality=XYZ --token=internal

    請參閱 CLI 參照 create-cert-request(1)

安裝憑證

從 CA 取得憑證之後,您可以使用 Administration Console 為配置安裝憑證。

Procedure安裝憑證

  1. 按一下 [伺服器憑證] 標籤 > [安裝] 按鈕。

  2. 選取配置

    從配置清單中選取您要為其安裝憑證的配置。

  3. 選取記號

    選取包含金鑰的記號 (加密裝置)。如果金鑰儲存在由 Sun Java System Web Server 7.0 維護的本機金鑰資料庫中,請選擇 [內部]。如果金鑰儲存在智慧卡或其他外部裝置或引擎中,請從下拉式清單方塊中選擇外部記號的名稱。輸入所選記號的密碼。

  4. 輸入憑證資料

    在提供的文字區中,將憑證文字貼上。複製並貼上文字時,一定要包括「起始憑證」和「結束憑證」標頭—包括起始和結束連字符。您也可以按一下 [瀏覽] 按鈕,然後手動選取 DER 檔案。

  5. 提供憑證詳細資訊

    提供用於憑證的暱稱。從可用清單中選取 HTTP 偵聽程式,以處理安全請求。

  6. 檢視結果

    此頁面為您提供了所選選項的摘要。按一下 [完成] 可完成安裝程序。

    備註 –

    使用 CLI

    若要透過 CLI 安裝憑證,請執行以下指令。


    wadm> install-cert --user=admin --port=8989  --password-file=admin.pwd 
--config=config1 --token=internal --cert-type=server --nickname=cert1 cert.req

    其中 cert.req 包含憑證資料。

    請參閱 CLI 參照 install-cert(1)

更新憑證

您可以透過執行以下步驟來更新現有憑證:

Procedure更新憑證

  1. 按一下 [伺服器憑證] 標籤 > [憑證名稱] > [更新] 按鈕。

  2. 提供記號資訊

    如果需要,請輸入記號的密碼。否則按 [下一步] 繼續。

  3. 更新憑證詳細資訊

    查看憑證詳細資訊,並提供有效期限 (以月為單位)。

  4. 更新金鑰資訊

    對於金鑰類型,您可以選擇 RSA 或 ECC。如果金鑰類型為 RSA,則金鑰大小可以為 1024、2048 或 4098。如果您的金鑰類型為 ECC,則還需要選取曲線。請記住,產生新的金鑰對需要花費一些時間。

  5. 檢視摘要

    此頁面為您提供了所選選項的摘要。按一下 [完成] 以完成更新程序。

刪除憑證

若要刪除憑證,請執行以下作業:

Procedure刪除憑證

  1. 按一下 [伺服器憑證] 標籤。

  2. 選取憑證

    從憑證清單中選取憑證名稱。

  3. 刪除憑證

    按一下 [刪除] 按鈕以刪除所選憑證。

    備註 –

    使用 CLI

    若要透過 CLI 刪除憑證,請執行以下指令:


    wadm> delete-cert --user=admin --port=8989  --password-file=admin.pwd 
--token=internal --config=config1 cert1

    請參閱 CLI 參照 delete-cert(1)

更新管理伺服器憑證

若要更新管理伺服器憑證,請執行指令 renew-admin-certs CLI 指令。使用此指令可以更新暱稱為 Admin-CA-CertAdmin-Server-CertAdmin-Client-Cert 的管理認證。此指令還可更新目前正在執行且使用更新的憑證可進行存取的節點。

執行此指令後,建議您重新啟動管理伺服器和節點,以便使新憑證生效。如果在更新憑證期間節點已離線 (未執行或由於網路問題無法存取),則需要重新註冊此節點。若要更新管理伺服器憑證,請執行以下指令。


wadm> renew-admin-certs --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --validity=120

請參閱 CLI 參照 renew-admin-certs(1)