Sun ONE Identity Server 6.1 管理指南 |
附录 B
在 SSL 模式中配置 Identity Server使用安全套接字层 (SSL) 和简单验证可以保密,并能够保证数据的完整性。
Identity Server 可以同时进行 SSL 和非 SSL 通信。这就意味着您不必在 SSL 通信和非 SSL 通信之间进行选择,而是可以同时使用它们。
以下各节说明了使用四种不同的 Web 容器在 SSL 模式中配置 Identity Server 的步骤:
使用安全 Sun ONE Web Server 配置 Identity Server要使用 Sun ONE Web Server 在 SSL 模式中配置 Identity Server,请参见以下步骤:
- 在 Identity Server 控制台中,单击顶层组织(安装过程中创建)的属性箭头。
数据框中将显示“组织属性”窗口。
- 单击“保存”保存更改。
- 在 Identity Server 控制台中,转到“服务配置”模块并选择“平台”服务。在“服务器列表”属性中,删除 http:// 协议,并添加 https:// 协议。单击“保存”。
步骤 4 至步骤 27 对 Sun ONE Web Server 进行了说明。
- 登录到 Web Server 控制台。缺省端口为 58888。
- 选择运行 Identity Server 的 Web Server 实例并单击“管理”。
将显示一个弹出窗口,说明配置已更改。单击“确定”。
- 单击屏幕右上角的“应用”按钮。
- 单击“应用设置”。
Web Server 应当会自动重新启动。单击“确定”继续。
- 停止选定的 Web Server 实例。
- 单击“安全”选项卡。
- 单击“创建数据库”。
- 输入新数据库的密码并单击“确定”。
请务必将数据库密码记下来,以备将来使用。
- 创建证书数据库后,单击“请求证书”。
- 在屏幕上的字段中输入数据。
在“密钥对字段密码”字段中输入您在步骤 11 中输入的密码。在“位置”字段中输入位置的完整拼写。不能输入缩写(例如 CA)。必须定义所有字段。在“通用名称”字段中,输入您的 Web Server 的主机名。
- 提交表单后,您将看到如下消息:
--BEGIN CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE REQUEST--
- 复制并为证书请求提交该文本。
确保您获取的是根 CA 证书。
- 您将收到一个包含证书的证书响应,例如:
--BEGIN CERTIFICATE---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE---
- 将这些文本复制到剪贴板或保存到文件中。
- 转到 Web Server 控制台并单击“安装证书”。
- 单击该服务器的“证书”。
- 在“密钥对文件密码”字段中,输入证书数据库的密码。
- 将证书粘贴到提供的文本字段中或选中单选按钮,并在文本框中输入文件名。单击“提交”。
浏览器将显示证书,并提供用于添加证书的按钮。
- 单击“安装证书”。
- 单击“信任的认证机构的证书”。
- 安装完这两种证书后,单击 Web Server 控制台中的“首选项”选项卡。
- 如果要在其它端口上启用 SSL,请选择“添加侦听套接字”。然后,选择“编辑侦听套接字”。
- 将安全状态从“已禁用”改为“已启用”,并单击“确定”以提交所作的更改。
步骤 28 至步骤 30 对 Identity Server 进行了说明。
- 打开 AMConfig.properties 文件。缺省情况下,该文件位于 /opt/SUNWam/lib 中。
- 将出现的所有 http:// 协议替换为 https:// 协议(除了 Web Server 实例目录)。还要在文件 AMConfig.properties 中进行指定,但是必须保持相同。
- 保存 AMConfig.properties 文件。
- 在 Web Server 控制台中,单击 Web Server 实例所属的 Identity Server 的“开/关”按钮。
Web Server 将在“启动/停止”页面中显示一个文本框。
- 在文本字段输入证书数据库密码并选择“启动”。
使用安全 Sun ONE Application Server 配置 Identity Server将 Identity Server 设置为在启用 SSL 的 Sun ONE Application Server 上运行要通过两个步骤来完成。首先,使 Application Server 实例对于已安装的 Identity Server 来说是安全的,然后配置 Identity Server 本身。
将 Application Server 设置为具有 SSL
要使 Application Server 实例安全
- 通过在浏览器中输入以下地址,以管理员身份登录到 Sun ONE Application Server 控制台:
http://fullservername:port
缺省端口为 4848。
- 输入在安装过程中输入的用户名和密码。
- 选择已在(或将在)其上安装 Identity Server 的 Application Server 实例。右侧框中显示配置已更改。
- 单击“应用更改”。
- 单击“重新启动”。Application Server 将自动重新启动。
- 在左侧框中,单击“安全”。
- 单击“管理数据库”选项卡。
- 如果未选择数据库,则单击“创建数据库”。
- 输入新数据库的密码并确认,然后单击“确定”按钮。请确保记下数据库的密码,以备将来使用。
- 创建证书数据库后,单击“证书管理”选项卡。
- 如果未选择证书,则单击“请求”链接。
- 为证书输入以下请求数据
- 如果该证书为新证书或证书更新,则选择该证书。许多证书在经过特定的一段时间之后会过期,一些认证机构 (CA) 会自动给您发送更新通知。
- 指定您要提交证书请求的方式。
如果 CA 要求接收电子邮件形式的请求,请查看 CA 电子邮件,然后输入 CA 的电子邮件地址。要查看 CA 的列表,请单击“可用的认证机构列表”。
如果是向使用 Sun ONE Certificate Server 的内部 CA 请求证书,请单击“CA URL”,然后输入 Certificate Server 的 URL。该 URL 应该指向 Certificate Server 的处理证书请求的程序。
- 输入密钥对文件的密码(即您在步骤 9 中指定的密码)。
- 输入以下标识信息:
通用名称。服务器的全名,包括端口号。
请求者姓名。请求者的姓名。
电话号码。请求者的电话号码。
通用名称。要在其上安装数字证书的 Sun One Application Server 的全限定名称。
电子邮件地址。管理员的电子邮件地址。
组织名称。您的组织的名称。认证机构可能要求该属性中输入的所有主机名都属于某个已注册到该组织的域。
组织单位名称。组织的部门或其它运作单位的名称。
位置名称(城市)。城市或城镇的名称。
州名。如果您的组织位于美国或加拿大,则分别指组织所在的州或省的名称。请不要使用缩写。
国家/地区代码。您的国家的两个字母的 ISO 代码。例如,美国的代码是 US。
- 单击“确定”按钮。系统将显示一条消息,例如:
--BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--
- 将该文本的所有内容复制到一个文件,然后单击“确定”。确保您获取的是根 CA 证书。
- 选择一个 CA,然后按照该机构的 Web 站点上的说明获取数字证书。您可以从 CMS、Verisign 或 Entrust.net 获取证书。
- 收到来自认证机构的数字证书后,您可以将文本复制到剪贴板或保存到文件中。
- 转到 Sun ONE Application Server 控制台,然后单击“安装”链接。
- 为该服务器选择证书。
- 在“密钥对文件密码”字段中,输入证书数据库的密码。(该密码与您在步骤 9 中输入的密码相同。)
- 将证书粘贴到所提供的“消息文本(带标题)”文本字段中,或在该文件文本框中的“消息”字段中输入文件名。选择相应的单选按钮。
- 单击“确定”按钮。浏览器将显示证书,并提供用于添加证书的按钮。
- 单击“添加服务器证书”。
- 证书安装都完成后,请展开左框中的“HTTP 服务器”节点。
- 选择“HTTP 服务器”下的“HTTP 侦听程序”。
- 选择“http-listener-1”。浏览器将显示套接字信息。
- 将 http-listener-1 使用的端口值从安装 Application Server 时输入的值更改为一个更合适的值,如 443。
- 选择“启用 SSL/TLS”。
- 选择“证书昵称”。
- 指定返回服务器。该名称应该与在步骤 12 中指定的通用名称匹配。
- 单击“保存”。
- 选择您要在其上安装 Sun ONE Identity Server 软件的 Application Server 实例。右侧框中显示配置已更改。
- 单击“应用更改”。
- 单击“重新启动”。Application Server 将自动重新启动。
配置 Identity Server 处于 SSL 模式
要配置 Identity Server,使 WebLogic 处于 SSL 模式,请执行以下步骤:
- 在 Identity Server 控制台中,单击顶层组织(安装过程中创建)的属性箭头。数据框中将显示“组织属性”窗口。
- 单击“保存”保存更改。
- 在 Identity Server 控制台中,转到“服务配置”模块并选择“平台”服务。在“服务器列表”属性中,添加 HTTPS 协议格式的相同 URL 和启用 SSL 的端口号。单击“保存”。
- 从以下缺省位置打开 AMConfig.properties 文件:
/opt/SUNWam/lib。
- 将出现的所有 http:// 协议替换为 https:// 协议,并将端口号更改为启用 SSL 的端口号。
- 保存 AMConfig.properties 文件。
- 重新启动 Application Server。