test

Sun Java System Web Server 7.0 Update 3 管理員指南

管理憑證

請求憑證

憑證是由數位資料組成,這些資料將指定個人、公司或其他實體的名稱,並證明憑證中包含的公開金鑰屬於該個人。啟用 SSL 的伺服器必須擁有憑證,但用戶端不一定要有憑證。

憑證由憑證授權單位或 CA 核發並以數位方式簽署。CA 可以是透過網際網路出售憑證的公司,也可以是負責為企業內部網路或企業間網路核發憑證的部門。您可以決定將充分信任的 CA 做為驗證其他使用者身份的機構。

您可以請求憑證並將憑證提交至憑證授權單位 (CA)。如果您的公司有自己的內部 CA,則可以向其請求憑證。如果計劃從商業 CA 購買憑證,請選擇一個 CA 並詢問其所需資訊的特定格式。您也可以為伺服器建立自我簽署的憑證。自我簽署的憑證不適用於連到網際網路的部署,但是對於開發和測試則非常有用,因為可讓您設定測試伺服器而無須 CA 介入。

如上文所述,憑證包括實體 (此案例中為 Web 伺服器) 的公開金鑰。公開金鑰是根據特定的演算法產生 (憑證中內建演算法類型程式碼)。下一節將提供 Web 伺服器所支援的金鑰演算法類型的背景說明。

Procedure請求憑證

  1. 按一下 [伺服器憑證] 標籤 > [請求] 按鈕。

  2. 選取配置

    從配置清單中選取您要為其安裝憑證的配置。

  3. 選取記號

    選取包含金鑰的記號 (加密裝置)。如果金鑰儲存在由伺服器維護的本機金鑰資料庫中。如果金鑰儲存在智慧卡或其他外部裝置或引擎中,請從下拉式清單方塊中選擇外部記號的名稱。輸入所選記號的密碼。

  4. 輸入詳細資訊

    開始請求程序之前,請確保您已瞭解 CA 所需的資訊。無論是向商業 CA 還是向內部 CA 請求伺服器憑證,您都需要提供以下資訊:

    • 伺服器名稱必須是 DNS 查找中使用的完全合格主機名稱 (例如 www.sun.com)。這是瀏覽器連線至您網站所使用的 URL 中的主機名稱。如果這兩個名稱不相符,則會通知用戶端憑證名稱與網站名稱不相符,由此懷疑憑證的可信賴性。

      如果要從內部 CA 請求憑證,則也可以在此欄位中輸入萬用字元或常規表示式。大多數供應商將不會核准為一般名稱輸入萬用字元或常規表示式的憑證請求。

    • [組織] 是指公司、教育機構、夥伴等的正式、合法名稱。大多數 CA 都要求您提出法律文件 (如營業執照副本) 來驗證此資訊。

    • [組織單位] 為可選欄位,說明公司內部的組織。也可以用於標註不太正式的公司名稱 (不帶 Inc.Corp. 等的名稱)。

    • [地區] 為可選欄位,通常用於說明組織所在城市和公國。

    • [州或省] 為選擇性欄位。

    • [國家/地區] 是您所在國家/地區名稱的兩個字元縮寫 (ISO 格式)。美國的國家代碼為 US。

    所有這些資訊組合成稱為辨別名稱 (DN) 的一系列「屬性 - 值」對,由此形成憑證的主體。

  5. 選擇憑證選項

    需要您提供金鑰資訊。對於金鑰類型,您可以選擇 RSA 或 ECC。若金鑰類型為 RSA,則金鑰大小可為 1024、2048 或 4098。如果金鑰類型為 ECC,您還需要選取曲線。請記住,產生新的金鑰對需要花費一些時間。金鑰長度越長,精靈產生金鑰所需的時間便越長。

    注意 – 注意 –

    請確定選取 CA (您稍後要向其提交請求以進行簽署) 可以支援的金鑰類型。

  6. 選取憑證類型

    為憑證選取憑證簽署授權單位 (CSA) (是自我簽署或由 CA 簽署)。如果選取自我簽署的憑證,則還可以為憑證建立與 HTTP 偵聽程式的關聯。您也可以稍後再執行此動作。

  7. 產生請求

    如果是 CA 簽署的憑證,則產生的憑證請求將為 ASCII 格式。如果是自我簽署的憑證,則會直接進行安裝。如果是自我簽署的類型,請提供暱稱、有效期 (月數) 以及 HTTP 偵聽程式名稱的值,以便處理安全請求。

  8. 檢視結果

    此頁面為您提供了所選選項的摘要。按一下 [完成] 可完成請求產生過程。

    備註 –

    使用 CLI

    若要透過 CLI 請求憑證,請執行以下指令。


    wadm> create-cert-request --user=admin --password-file=admin.pwd 
--host=serverhost --port=8989 --config=config1 --server-name=servername.org 
--org=sun --country=ABC --state=DEF --locality=XYZ --token=internal

    請參閱 CLI 參考資料 create-cert-request(1)

    備註 –

    如需瞭解如何透過 CLI 建立自我簽署的憑證,請參閱建立自我簽署的憑證

配置 Solaris 加密架構

本節說明如何配置用於 Web 伺服器的 Solaris 加密。

Procedure配置 Solaris 加密

  1. 使用下列指令移除機器中的 ./sunw 目錄。

    %rm -rf $HOME/.sunw

  2. 使用下列指令設定新的 pin:

    % pktool setpin Enter new PIN:<在此處鍵入 pin>

    Re-enter new PIN:<再次鍵入 pin>

  3. 使用下列指令停用 pkcs11_kernel.so pkcs11_softtoken.so 檔案中的機制:

    #cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_kernel.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC

    #cryptoadm disable provider=/usr/lib/security/$ISA/pkcs11_softtoken.so mechanism=CKM_SSL3_PRE_MASTER_KEY_GEN,CKM_SSL3_MASTER_KEY_DERIVE,CKM_SSL3_KEY AND_MAC_DERIVE,CKM_SSL3_MASTER_KEY_DERIVE_DH,CKM_SSL3_MD5_MAC,CKM_SSL3_SHA1_MAC

    備註 –

    若已使用 pkcs11_softtoken_extra.so 檔案中的機制,請確實予以停用。

Procedure註冊 PKCS#11 程式庫檔案

  1. 鍵入下列指令,將 Solaris 加密架構增加至配置目錄中的網路安全服務 (NSS)

    $ cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -add "scf" -libfile /usr/lib/libpkcs11.so -mechanisms RSA

  2. 使用下列指令驗證註冊:

    $cd <install-dir>/<instance-dir>/lib/modutil -dbdir <install-dir>/<instance-dir>/config -nocertdb -list 

    Listing of PKCS #11 Modules
1. NSS Internal PKCS #11 Module
     slots: 2 slots attached
         status: loaded

          slot: NSS Internal Cryptographic Services
         token: NSS Generic Crypto Services

          slot: NSS User Private Key and Certificate Services
         token: NSS Certificate DB

   2. scf
         library name: /usr/lib/libpkcs11.so
          slots: 1 slot attached
         status: loaded

          slot: Sun Crypto Softtoken
         token: Sun Software PKCS#11 softtoken

   3. Root Certs
         library name: libnssckbi.so
          slots: There are no slots attached to this module
         status: Not loaded

    如需有關建立伺服器憑證的更多資訊,請參閱請求憑證

    若憑證位於 NSS 資料庫中,您可以使用下列 pk12util 指令進行匯出或匯入:

    $pk12util -o server.pk12 -d . -n <server-cert>

    $pk12util -i server.pk12 -d . -h "Sun Software PKCS#11 softtoken"

    備註 –

    根據預設,certutil/pk12util 會搜尋資料庫中的 cert8.dbkey3.db。請將 -P 增加為使用替代名稱 https-instance-hostname-cert8.db https-instance-hostname-key3.db 之 Web 伺服器的前綴。

Procedure啟用及略過 PKCS#11 記號

  1. 在首頁中,按一下 [配置] 標籤

  2. 在 [配置] 頁面中,按一下要啟用 PKCS#11 與 [允許略過] 選項的配置

  3. 按一下 [憑證] 標籤

  4. 按一下 [PKCS#11 記號] 子標籤

  5. 在 [一般設定] 中,選取核取方塊以啟用 PKCS#11 與 [允許略過]

  6. 按一下 [儲存] 按鈕

    請參閱 CLI 參考資料 set-pkcs11-prop(1)

使用 CLI 建立自我簽署的憑證並啟用 SSL

從安裝目錄啟動 wadm,並執行下列步驟:

$wadm --user=admin
Please enter admin-user-password>enter the administration serverpassword

$wadm>list-tokens --config=test.sun.com

internal
Sun Software PKCS#11 softtoken

$wadm>create-selfsigned-cert --config=test.sun.com --server-name=test.sun.com --nickname=MyCert 
--token="Sun Software PKCS#11 softtoken"
Please enter token-pin>enter the password

CLI201 Command 'create-selfsigned-cert' ran successfully

$wadm>set-ssl-prop --config=test.sun.com --http-listener=http-listener-1 enabled=true 
server-cert-nickname="Sun Software PKCS#11 softtoken:MyCert"
CLI201 Command 'set-ssl-prop' ran successfully

$wadm>deploy-config test.sun.com
CLI201 Command 'deploy-config' ran success

此時,請啟動管理伺服器。

$ cd <install-dir>/<instance-dir>/bin/startserv
Sun Java System Web Server 7.0 Update 3

Please enter the PIN for the "Sun Software PKCS#11 softtoken" token:enter the password
info: HTTP3072: http-listener-1: https://test.sun.com:2222 ready to accept requests
info: CORE3274: successful server startup

安裝憑證

從 CA 取得憑證之後,您可以使用 Administration Console 為配置安裝憑證。

Procedure安裝憑證

  1. 按一下 [伺服器憑證] 標籤 > [安裝] 按鈕。

  2. 選取配置

    從配置清單中選取您要為其安裝憑證的配置。

  3. 選取記號

    選取包含金鑰的記號 (加密裝置)。如果金鑰儲存在由伺服器維護的本機金鑰資料庫中,請選擇內部。如果金鑰儲存在智慧卡或其他外部裝置或引擎中,請從下拉式清單方塊中選擇外部記號的名稱。輸入所選記號的密碼。

  4. 輸入憑證資料

    在提供的文字區中,將憑證文字貼上。複製並貼上文字時,請確實納入「起始憑證」和「結束憑證」標頭 — 包括起始和結束連字符。您也可以按一下 [瀏覽] 按鈕,然後手動選取 .DER 檔案。

  5. 提供憑證詳細資訊

    提供用於憑證的暱稱。從可用清單中選取 HTTP 偵聽程式,以處理安全請求。您也可以選取自我簽署的憑證選項。

  6. 檢視結果

    此頁面為您提供了所選選項的摘要。按一下 [完成] 可完成安裝程序。

    備註 –

    使用 CLI

    若要透過 CLI 安裝憑證,請執行以下指令。


    wadm> install-cert --user=admin --port=8989  --password-file=admin.pwd 
--config=config1 --token=internal --cert-type=server --nickname=cert1 cert.req

    其中 cert.req 包含憑證資料。

    請參閱 CLI 參考資料 install-cert(1)

請求及安裝外部憑證

您可以請求及安裝來自其他憑證授權單位的憑證。業界有多種 CA 可供使用。本節說明如何請求及安裝外部伺服器憑證。

依照請求憑證一節中的說明,執行步驟 1– 5。依照指示完成外部憑證的請求。

  1. 在 [憑證類型] 精靈中選取 [CA 簽署的憑證] 選項,然後按 [下一步]

  2. 隨即顯示查閱頁面。驗證相關設定,然後按一下 [完成] 按鈕。

  3. 複製內含標頭的憑證簽署請求 (CSR),然後按一下 [關閉] 按鈕。

  4. 進入憑證授權單位網站,並完成相關程序以取得授權單位所簽署的憑證。

  5. 將憑證儲存在本機資料夾中,或從網站複製憑證。

若要安裝已取得的憑證,請依照安裝憑證中的說明,執行步驟 1–3。依照指示完成外部憑證的安裝。

  1. 在 [輸入憑證日期] 頁面中貼上憑證,或提供您已存在機器上之檔案的路徑。按 [下一步] 按鈕。

  2. 輸入憑證的暱稱,然後從下拉式清單中選取偵聽程式。按 [下一步] 按鈕。

  3. 隨即顯示查閱頁面。按一下 [完成] 按鈕,以完成安裝。

如需有關設定記號 pin 的更多資訊,請參閱設定記號密碼

更新憑證

您可以透過執行以下步驟來更新現有憑證:

Procedure更新憑證

  1. 按一下 [伺服器憑證] 標籤 > [憑證名稱] > [更新] 按鈕。

  2. 提供記號資訊

    如果需要,請輸入記號的密碼。否則按 [下一步] 繼續。

  3. 更新憑證詳細資訊

    查看憑證詳細資訊,並提供有效期限 (以月為單位)。

  4. 更新金鑰資訊

    對於金鑰類型,您可以選擇 RSA 或 ECC。若金鑰類型為 RSA,則金鑰大小可為 1024、2048 或 4098。如果金鑰類型為 ECC,您還需要選取曲線。請記住,產生新的金鑰對需要花費一些時間。

  5. 檢視摘要

    此頁面為您提供了所選選項的摘要。按一下 [完成] 以完成更新程序。

    備註 –

    在管理伺服器憑證更新後,您必須重新啟動管理伺服器與節點。

刪除憑證

若要刪除憑證,請執行以下作業:

Procedure刪除憑證

  1. 按一下 [伺服器憑證] 標籤。

  2. 選取憑證

    從憑證清單中選取憑證名稱。

  3. 刪除憑證

    按一下 [刪除] 按鈕以刪除所選憑證。

    備註 –

    使用 CLI

    若要透過 CLI 刪除憑證,請執行以下指令:


    wadm> delete-cert --user=admin --port=8989  --password-file=admin.pwd 
--token=internal --config=config1 cert1

    請參閱 CLI 參考資料 delete-cert(1)

更新管理伺服器憑證

若要更新管理伺服器憑證,請執行指令 renew-admin-certs CLI 指令。使用此指令可以更新暱稱為 Admin-CA-CertAdmin-Server-CertAdmin-Client-Cert 的管理認證。此指令還可更新目前正在執行且使用更新的憑證可進行存取的節點。

執行此指令後,建議您重新啟動管理伺服器和節點,以便使新憑證生效。如果在更新憑證期間節點已離線 (未執行或由於網路問題無法存取),則需要重新註冊此節點。若要更新管理伺服器憑證,請執行以下指令。


wadm> renew-admin-certs --user=admin --password-file=admin.pwd --host=serverhost 
--port=8989 --validity=120

請參閱 CLI 參考資料 renew-admin-certs(1)