第 11 章   設定安全

Sun ONE Directory Proxy Server 支援 SSL/TLS，以便讓用戶端及後端目錄伺服器之間使用安全通訊，將於下列各節中說明：

· 準備設定 SSL 及 TLS

· 設定 SSL 通訊

本節的某些資訊是假設您已經熟悉公鑰密碼學及 Secure Sockets Layer (SSL) 通訊協定的基本概念，並了解 Intranet、Extranet、網際網路安全的概念，以及數位憑證在企業中的角色。如果您是第一次接觸這些概念，建議您先閱讀本手冊中與安全有關的附錄：用 Sun ONE Console 管理伺服器。

如果您是從 iDAR 5.0x 升級，在「 Directory Proxy Server安裝指南」中有遷移 SSL 組態的詳細程序。

Directory Proxy Server 有二個可分開設定的通訊連結。每個通訊連結都可以是明碼，或使用 Transport Layer Security (TLS) 或 Secure Sockets Layer (SSL) 通訊協定加密。您可以用二種不同的通訊連結，因此可以在 LDAP 用戶端及 Directory Proxy Server 之間與 Directory Proxy Server 及 LDAP 目錄之間，設定啟用 TLS 或 SSL 通訊。圖 11-1 說明 Directory Proxy Server 的這個能力。

圖 11-1    Directory Proxy Server 中二種不同的通訊連結

若通過驗證的憑證其 CA 受信任根憑證已完成安裝而且可以供 Directory Proxy Server 使用，則 Directory Proxy Server 就能確認用戶端及伺服器的憑證。

圖 11-2 說明用戶端建立 SSL 工作階段後， Directory Proxy Server 如何確認用戶端傳送的憑證。

圖 11-2    用戶端以憑證為準的驗證作業

準備設定 SSL 及 TLS

---

您必須根據自己是使用內部安全裝置、外部硬體裝置、或兩者兼用的情形，個別設定 SSL 及 TLS。本節會告訴您如何進行。

使用內部安全裝置設定 SSL 或 TLS

若要使用內部安全裝置設定 SSL 或 TLS，您必須要求並安裝憑證。若要要求憑證，請執行 [憑證要求精靈]。若要安裝憑證，請執行 [憑證安裝精靈]。出現提示時，請指定您要將憑證安裝在內部安全裝置上。

使用外部安全裝置設定 SSL 或 TLS

若要使用外部安全裝置 (例如 FORTEZZA) 設定 SSL，首先要安裝外部設備製造商提供的 PKCS #11 模組。然後執行 [憑證要求精靈]，在出現提示時指定外部安全裝置。

使用內部及外部安全裝置設定 SSL

您的企業內某些伺服器及用戶端可能只使用內部安全裝置，其他的可能同時使用內部及外部安全裝置。如果您的伺服器必須與同時執行內部及外部安全裝置的產品進行通訊，請執行 [憑證要求精靈] 二次。在第一次使用期間出現提示時，請指定內部安全裝置。在第二次使用期間出現提示時，請指定外部安全裝置。

設定 SSL 通訊

---

一般來說，設定啟用 SSL 通訊的 Directory Proxy Server 包含這些步驟：

· 步驟 1. 安裝 Directory Proxy Server 的「伺服器憑證」

· 步驟 2. 設定 Directory Proxy Server 及用戶端之間的 SSL 連線

· 步驟 3. 設定 Directory Proxy Server 及 LDAP 伺服器之間的 SSL 連線

步驟 1. 安裝 Directory Proxy Server 的「伺服器憑證」

要求及安裝憑證時，您必須使用二個精靈。可使用 [憑證要求精靈] 來要求新的伺服器憑證，或更新您已經在使用的憑證。可使用 [憑證安裝精靈] 來安裝憑證授權單位 (CA) 傳送來的憑證。您第一次使用 [憑證要求精靈] 時，本程式還會為您建立並安裝金鑰及憑證資料庫。

若要安裝 Directory Proxy Server 的伺服器憑證，請依照這些步驟：

· 步驟 A. 產生伺服器憑證要求

· 步驟 B. 傳送伺服器憑證要求

· 步驟 C. 安裝憑證

· 步驟 D. 安裝憑證授權單位憑證或伺服器憑證鏈結

· 步驟 E. 備份及還原您的憑證資料庫

SSL 憑證

Sun ONE Directory Proxy Server 可安裝三種憑證：伺服器憑證、伺服器憑證鏈結、或受信任的憑證授權單位 (CA) 憑證。

伺服器憑證是只與您的伺服器有關聯的單一憑證。此憑證可讓用戶端識別您的伺服器。您必須向憑證授權單位 (CA) 要求這類憑證。若要取得並安裝伺服器憑證，請產生要求並傳送給憑證授權單位 (CA)。然後安裝憑證。

伺服器憑證鏈結是您公司內部憑證伺服器或已知的憑證授權單位為您自動產生的一組憑證。鏈結中的憑證可回溯到原始的憑證授權單位，提供身分證明。您每次取得或安裝新的伺服器憑證時，都需要此證明。

受信任的憑證授權單位憑證是您公司內部憑證伺服器或已知的憑證授權單位為您自動產生的單一憑證。受信任的憑證授權單位憑證的功能是驗證用戶端。

若要取得受信任的憑證授權單位 (CA) 憑證，請先連線到內部憑證伺服器或憑證授權單位網站。請複製必要的憑證資訊，然後存成檔案。然後使用 [憑證安裝精靈] 來安裝憑證。

您可以在伺服器上安裝任何數量的 SSL 憑證。設定目錄伺服器實例的 SSL 時，您至少必須安裝一個伺服器憑證及一個受信任的憑證授權單位憑證。

步驟 A. 產生伺服器憑證要求

您可利用 Sun ONE Directory Proxy Server 來產生憑證要求，然後傳送給憑證授權單位 (CA)。

1. 在 Sun ONE Directory Proxy Server 瀏覽樹狀目錄中，選取您要使用 SSL 加密的伺服器實例。
2. 在伺服器實例上連按兩下，或按一下 [開啟]，開啟伺服器實例的管理視窗。
3. 從 [主控台] 功能表選擇 [安全] > [管理憑證]。

您也可以按一下 [管理憑證] 工作。

如果安全裝置沒有密碼，系統就會提示您輸入新密碼。

4. 按一下 [要求]，開啟 [憑證要求精靈]。
5. 選擇 [手動要求憑證]，然後按一下 [下一步]。
6. 輸入所要求的資訊：

伺服器名稱。 (選用) 為您要求憑證的電腦輸入完整合格主機名稱。

組織。 (選用) 輸入您的組織名稱。

組織單位。 (選用) 輸入您的事業部、部門、或其他組織單位。

城市/地區。 (選用) 輸入您組織單位所在的城市或區。

州/省。 (選用) 輸入您組織單位所在的州或省。

國家/地區。 (選用) 在下拉式功能表中選取您組織單位所在的州或省。

您可利用下列按鈕切換要求表單的二個檢視方式。

顯示 DN。 按一下以顯示辨別名稱 (DN) 格式的要求者資訊。只有當您在欄位中輸入資訊時，才看得見本按鈕。

顯示欄位。 按一下以顯示欄位中的要求者資訊。只有當您在欄位中輸入 DN 格式的資訊時，才看得見本按鈕。

7. 按一下 [下一步]。
8. 輸入儲存此憑證的安全裝置密碼。

如果您正在使用內部 (軟體) 安全裝置，這個就是金鑰及憑證資料庫的密碼。如果您正在使用外部 (硬體) 模組，這個就是智慧卡或其他安全裝置的密碼。

9. 按一下 [下一步]。
10. 選取下列其中一項：

[複製到剪貼簿]。 按一下可將您的憑證要求複製到剪貼簿。

[儲存至檔案]。 按一下可將您的要求儲存成文字檔。系統會提示您選擇檔案的名稱與位置。

11. 按一下 [完成]，關閉 [憑證要求精靈]。

步驟 B. 傳送伺服器憑證要求

一旦您產生了伺服器憑證要求，就要傳送給憑證授權單位進行處理。許多憑證授權單位允許您透過他們的網站提交憑證。其他單位可能要求您將加入要求的電子郵件訊息傳送給他們。

1. 利用您的電子郵件程式建立新的電子郵件訊息。
2. 將您的憑證要求貼到訊息中。

如果您將憑證要求儲存到檔案中，請在文字編輯器中開啟。將要求複製並貼上到訊息本文。

如果您將憑證要求複製到剪貼簿，請貼到訊息的本文中。

3. 輸入您要求的主題及收件人。主題及收件人的類型會根據您使用的憑證授權單位而不同。如需詳細資訊，請參閱您的憑證授權單位網站。
4. 將電子郵件訊息傳送給憑證授權單位。

一旦提交要求後，就必須等憑證授權單位將您的憑證傳回來。往返時間極不固定，而且需視憑證授權單位而定。如果您公司有內部的憑證授權單位，可能只需要一、二天就可以收到您的憑證。如果您使用外部的憑證授權單位，憑證授權單位可能要花幾週才能回應您的要求。

步驟 C. 安裝憑證

依各憑證授權單位的做法，您可能會在電子郵件訊息中收到憑證，或可能必須從憑證授權單位的網站檢索。一旦您有了憑證，就可以備份並安裝。

1. 將您從憑證授權單位收到的憑證資料儲存在文字檔中。

如果您遺失憑證資料，就可以利用此備份檔重新安裝憑證。

2. 在 Sun ONE Directory Proxy Server 瀏覽樹狀目錄中，選取您要安裝憑證的伺服器實例。
3. 按一下 [開啟]，開啟伺服器實例的管理視窗。
4. 在 [工作] 標籤上按一下 [管理憑證] 工作按鈕。

您也可以開啟 [主控台] 功能表，然後選擇 [安全] > [管理憑證]。

5. 按一下 [伺服器憑證] 標籤。
6. 指定儲存此憑證的位置。

• 如果您要將此憑證儲存在內部安全裝置上，請從 [安全裝置] 下拉式清單中選取內部 (軟體)，然後按一下 [安裝]。
• 如果您要將此憑證儲存在外部硬體裝置上，請從 [安全裝置] 下拉式清單中選取裝置，然後按一下 [安裝]。

7. 輸入憑證的位置或文字。

在本機檔案中。 如果憑證儲存在您系統上的文字檔中，請輸入該檔案的完整路徑。

在下列編碼的文字區塊中。 如果您將憑證複製到剪貼簿，請從剪貼簿按一下 [貼上] 按鈕，將憑證文字貼到文字欄位中。

8. 按一下 [下一步]。

如果您在上一步輸入的憑證資訊有效，就會看到包含憑證細節的頁面。

9. 請確認憑證資訊正確，然後按一下 [下一步]。
10. 輸入憑證名稱，然後按一下 [下一步]。
11. 輸入儲存此憑證的安全裝置的密碼。

如果您將憑證安裝到內部 (軟體) 安全裝置上，請輸入金鑰及憑證資料庫的密碼。如果您將憑證安裝到外部 (硬體) 安全裝置上，請輸入該裝置的密碼。

12. 按一下 [完成]。

步驟 D. 安裝憑證授權單位憑證或伺服器憑證鏈結

1. 從您的憑證授權單位取得憑證授權單位憑證或伺服器憑證。
2. 在 Sun ONE Directory Proxy Server 瀏覽樹狀目錄中，選取您要安裝憑證授權單位憑證的伺服器實例。
3. 按一下 [開啟]，開啟伺服器實例的管理視窗。
4. 在 [工作] 標籤上按一下 [管理憑證] 工作按鈕。

您也可以開啟 [主控台] 功能表，然後選擇 [安全] > [管理憑證]。

5. 選取 [憑證授權單位憑證] 標籤，然後按一下 [安裝]。
6. 輸入憑證的位置或文字：

在本機檔案中。 如果憑證儲存在您系統上的文字檔中，請輸入該檔案的完整路徑。

在下列編碼的文字區塊中。 如果要將憑證複製到剪貼簿，請從剪貼簿按一下 [貼上] 按鈕，將憑證文字貼到文字欄位中。

7. 按一下 [下一步]。

如果在上一步輸入的憑證資訊有效，就會看到包含憑證細節的頁面。

8. 請確認憑證資訊正確，然後按一下 [下一步]。
9. 輸入憑證名稱，然後按一下 [下一步]。
10. 請選取此憑證的信任選項：

從用戶端接收連線。 如果您要信任此憑證授權單位發出的用戶端憑證，請核取此方塊。

連線到其他伺服器。 如果您要信任此憑證授權單位發出的伺服器憑證，請核取此方塊。

11. 按一下 [完成]。

步驟 E. 備份及還原您的憑證資料庫

每次安裝憑證時，您應該備份憑證資料庫。如果您的資料庫毀損，就可以從本備份還原憑證資訊。

備份您的憑證資料庫

1. 開啟您的伺服器根資料夾。
2. 將 alias 資料夾中的所有檔案複製到另一個位置 (最好是在其他的磁碟上)。

本資料夾包含信任資料庫的憑證以及私密金鑰。

從備份還原您的憑證資料庫

· 將您的備份檔複製到伺服器根資料夾的 alias 子資料夾。

---

小心	如果從備份還原憑證資料庫，您會失去備份後所安裝的所有憑證。在還原您的憑證資料庫之前，請確定您有所有憑證的副本，以免需要重新安裝。

---

步驟 2. 設定 Directory Proxy Server 及用戶端之間的 SSL 連線

若要設定 Directory Proxy Server 及 LDAP 用戶端之間的 SSL 連線，請依照這些步驟：

· 步驟 A. 將 Directory Proxy Server 憑證授權單位憑證添加到用戶端的信任資料庫

· 步驟 B. 變更 Directory Proxy Server 系統組態

· 步驟 C. 變更 Directory Proxy Server 的網路群組

步驟 A. 將 Directory Proxy Server 憑證授權單位憑證添加到用戶端的信任資料庫

---

注意	只有在用戶端確認伺服器憑證時，才需要此步驟。所有的 Netscape 及 Sun 用戶端都會確認。然而，有的用戶端不會確認。在這個情況下就不需要設定信任關係。

---

當 Directory Proxy Server 提供自己的憑證給 LDAP 用戶端時，用戶端會嘗試確認此憑證是否有效。作為確認程序的一部分，用戶端要檢查送出憑證的憑證授權單位，是否受到用戶端信任。因此，送出 Directory Proxy Server 伺服器憑證的憑證授權單位之根憑證，必須安裝在用戶端的信任資料庫中。

安裝 Directory Proxy Server 伺服器憑證的最後一個步驟時，您要將 Directory Proxy Server 憑證授權單位憑證複製到文字檔。根據每個用戶端應用程式的說明文件，並將憑證授權單位憑證安裝到自己的信任資料庫中。

步驟 B. 變更 Directory Proxy Server 系統組態

Directory Proxy Server [主控台] 視窗中的 [設定] 及 [加密] 標籤，可以讓您為 Directory Proxy Server 定義啟用 SSL 通訊的標準。如需詳細資訊，請參閱 。

變更適當系統組態實例的下列項目，並儲存您的變更。

· 在 [設定] 標籤中指定 [SSL 連接埠] 欄位的值。 Directory Proxy Server 會監聽您指定連接埠號碼上的 LDAP (LDAP over SSL) 連線。根據預設值， Directory Proxy Server 不會監聽來自 LDAP 用戶端的連線。必須提供這個值，才能讓使用其他連接埠 636 方法建立 TLS/SSL 的用戶端啟用 LDAPS 連線。該值不能與 [連接埠] 欄位的值相同。(此選項也需要 TLS/SSL 組態，該組態位於 [加密] 標籤。)

如果您需要參數的描述，請按一下 [說明] 按鈕。

· 在 [SSL/TLS 加密] 標籤中指定所有必要的資訊。

如果您需要參數的描述，請按一下 [說明] 按鈕。

步驟 C. 變更 Directory Proxy Server 的網路群組

Directory Proxy Server 利用網路群組來識別用戶端，並判定他們對 LDAP 目錄包含資訊的存取權限；如需詳細資訊，請參閱第 6 章「建立及管理群組」。

在您設定的每個群組中，要在 [加密] 標籤中設定適當的選項，以指出您是否要強迫用戶端在傳送任何 LDAP 操作前啟動 TLS 工作階段、讓用戶端自行決定、或禁止用戶端啟動 TLS 工作階段。例如，您可能想啟用 [SSL 可用] 及 [用戶端必須建立 SSL 工作階段] 選項。如需 [加密] 標籤中所顯示選項的詳細資訊，請參閱第 6 章「建立及管理群組」的步驟 9。

如果啟用跟隨轉介，您就應該檢查 [轉介 SSL 原則]。請在左邊視窗的清單中選取 [轉介]，以啟用跟隨轉介。

Directory Proxy Server 可跟隨由後端伺服器傳回的轉介。所傳回的 LDAP URL 必須依照 RFC 2255 格式。如果沒有指定主機連接埠，用戶端就必須了解要聯絡的適當 LDAP 伺服器。

Directory Proxy Server 會把沒有主機或連接埠號碼的 LDAP URL，轉譯成發出此轉介的相同主機之轉介。例如：

ldap:///dc=central,dc=sun,dc=com	相同主機、連接埠的轉介，但基底不同。
ldap://:10389/	相同主機的轉介，但連接埠不同。
ldap://host/	主機「主機」的轉介，在預設的連接埠 389 上。

步驟 3. 設定 Directory Proxy Server 及 LDAP 伺服器之間的 SSL 連線

若要設定 Directory Proxy Server 及 LDAP 伺服器之間的 SSL 連線，請依照這些步驟：

· 步驟 A. 安裝憑證授權單位憑證或伺服器憑證鏈結

· 步驟 B. 將 Directory Proxy Server 憑證授權單位憑證添加到 LDAP 伺服器的信任資料庫

· 步驟 C. 變更 LDAP 伺服器內容

步驟 A. 安裝憑證授權單位憑證或伺服器憑證鏈結

如果您要 Directory Proxy Server 確認 LDAP 伺服器傳送的憑證，則需要此步驟。如需詳細資訊，請參閱 。

步驟 B. 將 Directory Proxy Server 憑證授權單位憑證添加到 LDAP 伺服器的信任資料庫

當 Directory Proxy Server 提供自己的憑證給 LDAP 伺服器時，伺服器會嘗試確認此憑證的有效性。作為確認程序的一部分，伺服器要檢查送出 Directory Proxy Server 憑證的憑證授權單位，是否受到伺服器信任。因此，送出 Directory Proxy Server 伺服器憑證的憑證授權單位之根憑證，必須安裝在 LDAP 伺服器的信任資料庫中。

安裝 Directory Proxy Server 伺服器憑證的最後一個步驟時，您要將 Directory Proxy Server 憑證授權單位憑證複製到文字檔。根據每個 LDAP 伺服器的說明文件，並將憑證授權單位憑證安裝到自己的信任資料庫中。如果您正在使用 Sun ONE Directory Server，可使用 [管理憑證精靈] (可從 Directory Server Console 的 [工作] 標籤啟動)，將憑證授權單位憑證新增到目錄伺服器的信任資料庫中。

步驟 C. 變更 LDAP 伺服器內容

[LDAP 伺服器內容] 視窗中的 [加密] 標籤，可以讓您為每個 LDAP 伺服器定義啟用 SSL 通訊的標準。如需詳細資訊，請參閱 。

變更適當 LDAP 伺服器內容物件的下列項目，並儲存您的變更。

· 將 [安全原則] 選項設定成適當值，讓 Directory Proxy Server永遠與後端伺服器建立 SSL/TLS，永不與後端伺服器建立 TLS/SSL，或只有在用戶端與 Directory Proxy Server 建立 SSL/TLS 時，才與後端伺服器建立 SSL/TLS。

· 將 [X.509 憑證主體 DN] 欄位設定成 LDAP 伺服器的憑證主體名稱 (X.509 憑證中的主體屬性)。如已指定，則 Directory Proxy Server 就會嘗試比對憑證主體與 LDAP 伺服器憑證上出現的主體，且會在出現不相符時拒絕 TLS 工作階段(此屬性允許 Directory Proxy Server 驗證連線的 LDAP 伺服器。 如果沒有設定此屬性， Directory Proxy Server 就會接受任何名稱)。

---