|
| Sun ONE Directory Proxy Server 管理员指南 |
Sun ONE Directory Proxy Server 支持 SSL/TLS,以便在其客户机和后端目录服务器之间进行安全通讯,详情请参见:
本节中某些信息的介绍是假设您熟悉公钥加密和安全套接字层 (SSL) 协议的基本概念,并了解 Intranet、Extranet 的概念以及 Internet 安全性和数字证书在企业中的作用。如果您对这些概念不熟悉,我们建议您阅读手册《使用 Sun ONE Console 管理服务器》中与安全相关的附录。
如果您正在从 iDAR 5.0x 升级,那么可以参考《Directory Proxy Server 安装指南》了解移植 SSL 配置的详细过程。
Directory Proxy Server 有两个可单独配置的通讯链接。每个通讯链接都可以是明文,也可以使用传输层安全性 (TLS) 或安全套接字层 (SSL) 协议 进行加密。由于可以使用两个单独的通讯链接,所以您可以在 LDAP 客户机和 Directory Proxy Server 之间,以及 Directory Proxy Server 和 LDAP 目录之间配置启用 TLS 或 SSL 的通讯。图 11-1 说明了 Directory Proxy Server 的此功能。
图 11-1 Directory Proxy Server 中两个单独的通讯链接
Directory Proxy Server 可以验证客户机和服务器证书,条件是被验证的证书的受信任根 CA 证书已安装,并且可由 Directory Proxy Server 使用。
图 11-2 说明了 Directory Proxy Server 如何在 SSL 会话建立之后验证客户机提供给它的证书。
图 11-2 基于证书的客户机验证
准备设置 SSL 和 TLS
设置 SSL 和 TLS 需采用不同的方法,具体取决于您是使用内部安全设备、外部硬件设备还是两者都使用。本节将向您说明如何完成此设置。
为内部安全设备设置 SSL 或 TLS
要为内部安全设备设置 SSL 或 TLS,必须申请并安装证书。要申请证书,请运行“证书申请向导”。要安装证书,请运行“证书安装向导”。出现提示时,请指定您希望在内部安全设备上安装证书。
为外部安全设备设置 SSL 或 TLS
要为外部安全设备(如 FORTEZZA)设置 SSL,首先请安装外部设备制造商提供的 PKCS #11 模块。然后运行“证书申请向导”,出现提示时,指定外部安全设备。
为内部和外部安全设备设置 SSL
企业中的某些服务器和客户机可能只使用内部安全设备,而其他的则可能同时使用内部和外部安全设备。如果服务器需要与运行内部和外部安全设备的产品进行通讯,那么请两次运行“证书申请向导”。首次使用期间,当出现提示时,请指定内部安全设备。在第二次使用期间,当出现提示时,请指定外部安全设备。
设置 SSL 通讯
一般说来,要为 Directory Proxy Server 设置启用 SSL 的通讯,需执行以下步骤:
· 步骤 1:为 Directory Proxy Server 安装服务器证书
· 步骤 2:在 Directory Proxy Server 和客户机之间建立 SSL 连接
· 步骤 3:在 Directory Proxy Server 和 LDAP 服务器之间建立 SSL 连接
步骤 1:为 Directory Proxy Server 安装服务器证书
在申请和安装证书时,需使用两个向导。可以使用“证书申请向导”来申请新服务器证书或续订使用中的证书。可以使用“证书安装向导”来安装您从证书颁发机构 (CA) 收到的证书。首次使用“证书申请向导”时,它还将为您创建并安装密钥和证书数据库。
要为 Directory Proxy Server 安装服务器证书,请执行以下步骤:
SSL 证书
Sun ONE Directory Proxy Server可以安装三种类型的证书:服务器证书、服务器证书链或受信任的 CA 证书。
服务器证书是仅与相应服务器关联的单一证书。它向客户机标识您的服务器。必须向 CA 申请这种类型的证书。要获取并安装服务器证书,请生成一份申请并将其发送给 CA。然后安装证书。
服务器证书链是您公司的内部证书服务器或已知 CA 自动为您生成的证书的集合。链中的证书可以追溯到原始的 CA,提供身份证明。每当您获取或安装新服务器证书时,都需要提供此证明。
受信任的 CA 证书是您公司的内部证书服务器或已知 CA 自动为您生成的单一证书。受信任的 CA 证书用于验证客户机。
要获取受信任的 CA 证书,请首先访问内部证书服务器或 CA 的网站。复制必要的证书信息并将其保存到文件。然后使用“证书安装向导”来安装证书。
可以在一台服务器上安装任意数量的 SSL 证书。在为 Directory Server 的实例设置 SSL 时,需要至少安装一个服务器证书和一个受信任的 CA 证书。
步骤 A:生成服务器证书申请
可以使用 Sun ONE Directory Proxy Server 生成证书申请,然后可以将该证书申请提交给证书颁发机构 (CA)。
- 在 Sun ONE Directory Proxy Server 导航树中,选择需要使用 SSL 加密的服务器实例。
- 双击该服务器实例或单击“打开”,以便打开服务器实例的管理窗口。
- 从“控制台”菜单中,选择“安全”>“管理证书”。
您也可以单击“管理证书”任务。
如果安全设备没有口令,则系统会提示您输入新口令。
- 单击“申请”,打开“证书申请向导”。
- 选择“手动申请证书”,然后单击“下一步”。
- 输入申请的信息:
服务器名称。(可选)输入您正在为其申请证书的机器的完全合格的主机名。
组织。(可选)输入您的组织的名称。
组织单位。(可选)输入您的分部、部门或其他组织单位。
市/县。(可选)输入您的组织单位所在的城市或位置。
省/自治区。(可选)输入您的组织单位所在的省份。
国家/地区。(可选)从下拉菜单中选择您的组织单位所在的国家或地区。
您可以使用以下按钮在申请表的两个视图之间切换:
显示 DN。单击此按钮可显示区别名 (DN) 格式的申请者信息。只有当您在字段中输入信息时,才可以看到此按钮。
显示字段。单击此按钮可在字段中显示申请者信息。只有您以 DN 格式输入信息时,才可以看到此按钮。
- 单击“下一步”。
- 为将存储此证书的安全设备输入口令。
如果您正在使用内部(软件)安全设备,则输入的就是密钥和证书数据库的口令。如果您正在使用外部(硬件)模块,则输入的将是您的智能卡或其他安全设备的口令。
- 单击“下一步”。
- 选择下列选项之一:
复制到剪贴板。单击以将您的证书申请复制到剪贴板。
保存到文件。单击以将您的申请保存为文本文件。将提示您选择文件的名称和位置。
- 单击“完成”,关闭“证书申请向导”。
步骤 B:发送服务器证书申请
生成服务器证书申请后,请将其发送到 CA 以进行处理。许多 CA 允许您通过其网站提交证书申请。其他的 CA 可能要求您向他们发送包含申请的电子邮件。
- 使用电子邮件程序创建新的电子邮件。
- 将证书申请粘贴到电子邮件中。
如果您将证书申请保存到文件,那么请在文本编辑器中将其打开。将申请复制并粘贴到电子邮件的正文中。
如果您将证书申请复制到剪贴板,那么请将其粘贴到电子邮件的正文中。
- 输入主题和申请的收件人。取决于您正在使用的 CA,主题和收件人的类型会有所不同。有关详细信息,请参阅您的 CA 的网站。
- 将电子邮件发送到 CA。
提交申请后,必须等待 CA 响应并颁发您的证书。取决于 CA 的不同,往返时间会有很大不同。如果您的公司具有内部 CA,则可能只需要一两天即可接收到您的证书。如果您正在使用外部 CA,则可能要花几个星期该 CA 才能响应您的申请。
步骤 C:安装证书
取决于 CA 的不同,您可能以电子邮件的形式接收到证书或者可能需要从 CA 的网站检索证书。具有证书后,您便可以将其备份并安装。
- 在文本文件中保存您从 CA 接收到的证书数据。
如果您丢失了证书数据,则可以使用此备份文件重新安装证书。
- 在 Sun ONE Directory Proxy Server 导航树中,选择您希望在其上安装证书的服务器实例。
- 单击“打开”,打开服务器实例的管理窗口。
- 在“任务”选项卡上,单击“管理证书”任务按钮。
也可以打开“控制台”菜单,然后选择“安全”>“管理证书”。
- 单击“服务器证书”选项卡。
- 指定存储该证书的位置。
- 如果希望将此证书存储在内部安全设备上,请从“安全设备”下拉列表中选择内部(软件),然后单击“安装”。
- 如果希望将此证书存储在外部硬件设备上,请从“安全设备”下拉列表中选择设备,然后单击“安装”。
- 输入证书的位置或输入证书的文本。
在该本地文件中。如果您的证书存储在系统上的文本文件中,则请输入到该文件的完整路径。
在以下编码文本块中。如果您将证书复制到了剪贴板中,请单击“从剪贴板中粘贴”按钮,将证书的文本粘贴到文本字段中。
- 单击“下一步”。
如果您上面输入的证书信息是有效的,则会看到包含该证书详细信息的页面。
- 验证证书信息是否正确,然后单击“下一步”。
- 输入证书的名称,然后单击“下一步”。
- 为将持有此证书的安全设备输入口令。
如果您在内部(软件)安全设备上安装证书,则请为密钥和证书数据库输入口令。如果您在外部(硬件)安全设备上安装证书,则请为该设备输入口令。
- 单击“完成”。
步骤 D:安装 CA 证书或服务器证书链
- 从 CA 获取 CA 证书或服务器证书链。
- 在 Sun ONE Directory Proxy Server 导航树中,选择您希望在其上安装 CA 证书的服务器实例。
- 单击“打开”,打开服务器实例的管理窗口。
- 在“任务”选项卡上,单击“管理证书”任务按钮。
也可以打开“控制台”菜单,然后选择“安全”>“管理证书”。
- 选择“CA 证书”选项卡,然后单击“安装”。
- 输入证书的位置或输入证书的文本:
在该本地文件中。如果证书存储在系统上的文本文件中,则请输入到该文件的完整路径。
在以下编码文本块中。如果您将证书复制到剪贴板中,则请通过从“剪贴板”按钮单击“粘贴”,将证书的文本粘贴到文本字段中。
- 单击“下一步”。
如果您上面输入的证书信息是有效的,则您会看到包含该证书详细信息的页面。
- 验证证书信息是否正确,然后单击“下一步”。
- 输入证书的名称,然后单击“下一步”。
- 为该证书选择信任选项:
接受客户机的连接。如果希望信任此 CA 颁发的客户机证书,则请选中此框。
建立到其他服务器的连接。如果希望信任此 CA 颁发的服务器证书,则请选中此框。
- 单击“完成”。
步骤 E:备份和还原证书数据库
每当您安装证书时,都应该备份证书数据库。如果数据库曾被损坏,则可以从此备份中还原证书信息。
要备份证书数据库,请执行以下操作:
- 打开服务器根文件夹。
- 将 alias 文件夹中的所有文件复制到其他位置(最好选择在不同的磁盘上)。
该文件夹包含证书以及信任数据库的私钥。
从备份中还原证书数据库
· 将备份文件复制到服务器根文件夹的 alias 子文件夹中。
警告
如果从备份中还原证书数据库,则备份后安装的任何证书都将丢失。还原证书数据库之前,要确保您拥有所有证书的副本,以便需要时重新安装。
步骤 2:在 Directory Proxy Server 和客户机之间建立 SSL 连接
要在 Directory Proxy Server 和 LDAP 客户机之间建立 SSL 连接,请执行以下步骤:
· 步骤 A:将 Directory Proxy Server CA 证书添加到客户机的信任数据库中
· 步骤 B:对 Directory Proxy Server 系统配置进行更改
· 步骤 C:对 Directory Proxy Server 网络组进行更改
步骤 A:将 Directory Proxy Server CA 证书添加到客户机的信任数据库中
注意 只有在客户机验证服务器证书时,该步骤才是必需的。所有 Netscape 和 Sun 客户机都要进行验证。但是,也有不进行验证的客户机。在这种情况下,设置信任不是必需的。
当 Directory Proxy Server 向 LDAP 客户机出示其证书时,客户机试图验证证书的有效性。作为此验证过程的一部分,客户机会检查颁发该证书的 CA 是否受客户机信任。因此,颁发了 Directory Proxy Server 服务器证书的 CA 根证书必须安装在客户机的信任数据库中。
在安装 Directory Proxy Server 服务器证书的最后一个步骤中,将 Directory Proxy Server CA 证书复制到文本文件中。遵循每个客户机应用程序的文档,并在其信任数据库中安装 CA 证书。
步骤 B:对 Directory Proxy Server 系统配置进行更改
通过 Directory Proxy Server 控制台窗口中的“设置”和“加密”选项卡,您可以为 Directory Proxy Server 定义启用 SSL 的通讯条件。有关详细信息,请参阅“创建系统配置实例”。
对相应的系统配置实例进行以下更改,并保存所作的更改。
· 在“设置”选项卡中,在“SSL 端口”字段中指定一个值。Directory Proxy Server 将侦听您为 LDAPS(通过 SSL 的 LDAP)连接指定的端口号。默认情况下,Directory Proxy Server 不侦听来自 LDAPS 客户机的连接。该值必须存在,以允许来自客户机的 LDAPS 连接,这些客户机使用备用端口 636 方法建立 TLS/SSL。该值必须不同于“端口”字段中的值。(该选项还需要“加密”选项卡上的 TLS/SSL 配置。)
如果您需要查看参数的描述,请单击“帮助”按钮。
· 在“SSL/TLS 加密”选项卡中,指定所有需要的信息。
如果您需要查看参数的描述,请单击“帮助”按钮。
步骤 C:对 Directory Proxy Server 网络组进行更改
Directory Proxy Server 使用网络组来标识客户机,并确定它们对 LDAP 目录中包含信息的访问特权;有关详细信息,请参阅第 6 章“创建和管理组”。
在您配置的每个组中,设置“加密”选项卡中的相应选项,以表明您是否希望强制客户机在发送任何 LDAP 操作之前开始 TLS 会话,让客户机自己决定,或者不允许客户机开始 TLS 会话。例如,您可能希望启用“SSL 可用”和“客户机必须建立 SSL 会话”选项。有关“加密”选项卡中显示的选项的详细信息,请参阅第 6 章“创建和管理组”上的步骤 9)。
如果启用了引荐遵循,则应该检查“引荐 SSL 策略”。通过选择窗口左侧列表中的“引荐”来启用引荐遵循。
Directory Proxy Server 可以遵循后端服务器返回的引荐。返回的 LDAP URL 必须是 RFC 2255 格式。如果没有给出主机端口,则客户必须对要联系的相应 LDAP 服务器有一定了解。
Directory Proxy server 将不具有主机或端口号的 LDAP URL 解释为颁发该引荐的相同主机的引荐。例如:
ldap:///dc=central,dc=sun,dc=com
对具有不同的基的相同主机、端口的引荐。
ldap://:10389/
对相同主机但不同端口的引荐。
ldap://host/
对默认端口 389 上的主机“主机”的引荐。
步骤 3:在 Directory Proxy Server 和 LDAP 服务器之间建立 SSL 连接
要在 Directory Proxy Server 和 LDAP 服务器之间建立 SSL 连接,请执行以下步骤:
· 步骤 B:将 Directory Proxy Server CA 证书添加到 LDAP 服务器的信任数据库中
步骤 A:安装 CA 证书或服务器证书链
如果您希望 Directory Proxy Server 验证 LDAP 服务器提供给它证书,则此步骤是必需的。有关详细信息,请参阅“步骤 D:安装 CA 证书或服务器证书链”。
步骤 B:将 Directory Proxy Server CA 证书添加到 LDAP 服务器的信任数据库中
当 Directory Proxy Server 向 LDAP 服务器出示其证书时,该服务器试图验证证书的有效性。作为此验证过程的一部分,服务器检查颁发 Directory Proxy Server 证书的 CA 是否受服务器信任。因此,颁发了 Directory Proxy Server 服务器证书的 CA 根证书必须安装在 LDAP 服务器的信任数据库中。
在安装 Directory Proxy Server 服务器证书的最后一个步骤中,将 Directory Proxy Server CA 证书复制到文本文件中。遵循每个 LDAP 服务器的文档,并在其信任数据库中安装 CA 证书。如果正在使用 Sun ONE Directory Server,则可以使用“管理证书向导”(该向导可以从 Directory Server 控制台的“任务”选项卡启动),将 CA 证书添加到 Directory Server 的信任数据库中。
步骤 C:对 LDAP 服务器属性进行更改
通过“LDAP 服务器属性”窗口中的“加密”选项卡,您可以为每个 LDAP 服务器定义启用 SSL 的通讯条件。有关详细信息,请参阅“创建 LDAP 服务器属性对象”。
对相应的 LDAP 服务器属性对象进行以下更改,并保存所作的更改。
· 将“安全策略”选项设置为相应的值,以便 Directory Proxy Server 将始终与后端服务器建立 SSL/TLS,而绝不与后端服务器建立 TLS/SSL,或是仅当客户机对 Directory Proxy Server 执行相同操作时才与后端服务器建立 SSL/TLS。
· 将“X.509 证书接受方 DN”字段设置为 LDAP 服务器的证书接受方名称(X.509 证书中的接受方特性)。如果已指定,则 Directory Proxy Server 将尝试匹配该证书接受方与 LDAP 服务器证书的现有接受方,如果不匹配,则拒绝 TLS 会话。(此特性允许 Directory Proxy Server 对它正在连接的 LDAP 服务器进行验证。如果未设置此特性,Directory Proxy Server 就会接受任何名称。)