Sun Java logo     上一頁      目錄      索引      下一頁     

Sun logo
Sun Java System Identity Server 2004Q2 管理指南 

第 3 章
在 SSL 模式中配置 Identity Server

使用具有簡單認證的安全套接層 (SSL) 可以保證機密性和資料完整性。若要在 SSL 模式中啟用 Identity Server,通常要:

  1. 以安全 web 容器配置 Identity Server
  2. 將 Identity Server 配置到安全的 Directory Server

以下各節描述這些步驟:

使用安全 Sun Java System Web Server 配置 Identity Server

若要使用 Sun Java System Web Server 在 SSL 模式中配置 Identity Server,請參閱以下步驟:

  1. 在 Identity Server 主控台中,移至服務配置模組並選取 [平台] 服務。在 [伺服器清單] 屬性中,移除 http:// 協定,然後加入 https:// 協定。按一下 [儲存]。

    2. 注意   

    請務必按一下 [儲存]。否則,雖然您仍可以繼續執行下面的步驟,但您所做的所有配置變更均會遺失,並且無法以管理員身份登入以修正此問題。

步驟 2步驟 25 描述 Sun Java System Web Server。

  1. 登入 Web Server 主控台。預設連接埠為 58888。
  2. 選取 Identity Server 於其上執行的 Web Server 實例,然後按一下 [管理]。

    3. 系統會顯示快顯式視窗,說明配置已變更。按一下 [確定]。

  3. 按一下畫面右上角的 [套用] 按鈕。
  4. 按一下 [套用設定]。

    5. Web Server 會自動重新啟動。按一下 [確定] 以繼續。

  5. 停止選取的 Web Server 實例。
  6. 按一下 [安全] 標籤。
  7. 按一下 [建立資料庫]。
  8. 輸入新的資料庫密碼並按一下 [確定]。

    9. 請確保記下資料庫密碼,以備稍後使用。

  9. 建立證書資料庫後,按一下 [請求證書]。
  10. 在畫面提供的欄位中輸入資料。

    11. 您在 [金鑰組欄位密碼] 欄位中的輸入與您在步驟 9 中的輸入相同。在位置欄位中,需要完整寫出詳細位置。縮寫詞 (如 CA) 無效。必須定義所有欄位。在 [共用名稱] 欄位中,提供您 Web Server 的主機名稱。

  11. 提交表格後,您將看到與以下訊息類似的訊息:

    12. --BEGIN CERTIFICATE REQUEST---

    afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf

    alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

    --END CERTIFICATE REQUEST--

  12. 複製這些文字並提交,以請求證書。

    13. 請確保您取得了 Root CA 證書。

  13. 您將接收到包含證書的證書回應,如:

    14. --BEGIN CERTIFICATE---

    afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf

    alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

    --END CERTIFICATE---

  14. 將這些文字複製到剪貼簿,或儲存在檔案中。
  15. 移至 Web Server 主控台並按一下 [安裝證書]。
  16. 按一下該 Server 的證書。
  17. 在 [金鑰組檔案密碼] 欄位中輸入證書資料庫密碼。
  18. 在提供的文字欄位中貼上證書,或核取單選按鈕並在文字方塊中輸入檔案名稱。按一下 [提交]。

    19. 瀏覽器將顯示該證書,並提供加入證書的按鈕。

  19. 按一下 [安裝證書]。
  20. 按一下 [可信任的證書授權單位的證書]。
  21. 步驟 16步驟 21 中所述的相同方式安裝 Root CA 證書。
  22. 兩個證書安裝完成後,按一下 Web Server 主控台中的 [喜好設定] 標籤。
  23. 如果要在不同的連接埠上啟用 SSL,請選取 [加入偵聽套接字]。然後選取 [編輯偵聽套接字]。
  24. 將安全狀態從 [停用] 變更為 [啟用],然後按一下 [確定] 提交變更。

步驟 26步驟 28 描述 Identity Server。

  1. 開啟 AMConfig.properties 檔案。依預設,該檔案位於 etc/opt/SUNWam/config
  2. https:// 取代出現的所有 http:// 協定,Web Server 實例目錄中的除外。AMConfig.properties 中也指定了這一點,但必須保持一致。
  3. 儲存 AMConfig.properties 檔案。
  4. 在 Web Server 主控台中,按一下託管 Web 伺服器實例之 Identity Server 的 [開啟/關閉] 按鈕。

    5. Web Server 會在 [啟動/停止] 頁面中顯示一個文字方塊。

  5. 在文字欄位中輸入證書資料庫密碼並選取 [啟動]。

使用安全 Sun Java System Application Server 配置 Identity Server

將 Identity Server 設定為在已啟用 SSL 的 Sun Java System Application server 上執行,過程分兩步。首先,將 Application Server 實例與安裝的 Identity Server 安全結合在一起,然後配置 Identity Server 本身。

使用 SSL 設定 Application Server

要安全結合 Application Server 實例:

  1. 透過在您的瀏覽器中輸入以下位址,以管理員身份登入 Sun Java System Application Server 主控台:

    2. http://fullservername:port

    預設連接埠為 4848。

  2. 輸入您在安裝時輸入的使用者名稱和密碼。
  3. 選取您在其上安裝 (或將要安裝) Identity Server 的 Application Server 實例。右框架會顯示配置已變更。
  4. 按一下 [套用變更]。
  5. 按一下 [重新啟動]。Application Server 會自動重新啟動。
  6. 在左框架中,按一下 [安全]。
  7. 按一下 [管理資料庫] 標籤。
  8. 按一下 [建立資料庫] (如果未選取)。
  9. 輸入新的資料庫密碼並確認,然後按一下 [確定] 按鈕。請確保記下資料庫密碼,以備稍後使用。
  10. 建立證書資料庫後,按一下 [證書管理] 標籤。
  11. 按一下 [請求] 連結 (如果未選取)。
  12. 為證書輸入以下請求資料
    1. 如果該證書為新證書或更新的證書,則選取它。許多證書會在一段特定時間後過期,某些證書授權單位 (CA) 會自動給您傳送換新通知。
    2. 指定您要提交證書請求的方式。

      3. 如果希望 CA 接收電子郵件訊息形式的請求,請核取 [CA 電子郵件] 並輸入 CA 的電子郵件位址。如需 CA 清單,請按一下 [可用證書授權單位清單]。

      如果您從使用 Sun Java System Certificate Server 的內部 CA 請求證書,則請按一下 [CA URL] 並輸入 Certificate Server 的 URL。此 URL 應該指向處理證書請求的證書伺服器程式。

    3. 輸入您金鑰組檔案的密碼 (您在步驟 9 中指定的密碼)。
    4. 輸入以下識別資訊:

      5. [共用名稱]。伺服器的完整名稱,包含連接埠號。

      [請求者名稱]。請求者的名稱。

      [電話號碼]。請求者的電話號碼。

      [共用名稱]。將在其上安裝數位證書的 Sun Java System Application Server 之完整名稱。

      [電子郵件位址]。管理員的電子郵件位址。

      [組織名稱]。您組織的名稱。證書授權單位可能會要求在此屬性中輸入的所有主機名稱均屬於註冊到該組織的領域。

      [組織單元名稱]。組織的分支、部門或其他運作部門的名稱。

      [地區名稱 (城市)]。您所在城市或城鎮的名稱。

      [州的名稱]。如果您的組織分別在美國或加拿大,此項指組織所在州或省的名稱。請勿縮寫。

      [國家/地區代碼]。代表您國家/地區的兩個字母的 ISO 代碼。例如,美國的代碼為 US

  13. 按一下 [確定] 按鈕。畫面上將會顯示訊息,例如:

    14. --BEGIN NEW CERTIFICATE REQUEST---

    afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla

    alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl

    --END NEW CERTIFICATE REQUEST--

  14. 將所有這些文字複製到一個檔案並按一下 [確定]。請確定您取得了 Root CA 證書。
  15. 選取一個 CA,並依循授權單位網站上的說明執行,以取得數位證書。您可以從 CMS、Verisign 或 Entrust.net 取得證書
  16. 從證書授權單位接收到數位證書後,您可以將文字複製到剪貼簿,或將其儲存到檔案中。
  17. 移至 Sun Java System Application Server 主控台並按一下 [安裝] 連結。
  18. 選取 [此伺服器的證書]。
  19. 在 [金鑰組檔案密碼] 欄位中輸入證書資料庫密碼。(與在步驟 9 中輸入的密碼相同)。
  20. 在提供的文字欄位、[訊息] 文字 (帶有標頭) 中貼上證書,或在此檔案文字方塊的 [訊息] 中輸入檔案名稱。選取相應的單選按鈕。
  21. 按一下 [確定] 按鈕。瀏覽器會顯示證書,並提供加入證書的按鈕。
  22. 按一下 [加入伺服器證書]。
  23. 步驟 10步驟 22 中所述的相同方式安裝 Root CA 證書。但是,在步驟 18 中,請選取 [可信任的證書授權單位的證書]。
  24. 安裝完兩個證書後,展開左框架中的 [HTTP 伺服器] 節點
  25. 選取 [HTTP 伺服器] 下的 [HTTP 偵聽程式]。
  26. 選取 http-listener-1。瀏覽器會顯示套接字資訊。
  27. http-listener-1 使用的連接埠的值從安裝 Application Server 時輸入的值變更為更適當的值 (如 443)。
  28. 選取 [啟用 SSL/TLS]。
  29. 選取 [證書別名]。
  30. 指定回傳伺服器。該伺服器應該與步驟 12 中指定的共用名稱相符。
  31. 按一下 [儲存]。
  32. 選取您要在其上安裝 Sun Java System Identity Server 軟體的 Application Server 實例。右框架會顯示配置已變更。
  33. 按一下 [套用變更]。
  34. 按一下 [重新啟動]。Application Server 會自動重新啟動。

在 SSL 模式中配置 Identity Server

要在 SSL 模式中配置 Identity Server:

  1. 在 Identity Server 主控台中,移至服務配置模組並選取 [平台] 服務。在 [伺服器清單] 屬性中,加入使用 HTTPS 協定的相同的 URL 和一個已啟用 SSL 的連接埠號。按一下 [儲存]。

    2. 注意   

    如果 Identity Server 單一實例正在偵聽兩個連接埠 (一個在 Http,一個在 Https),且您試圖以停止的 cookie 存取 Identity Server,Identity Server 將沒有回應。這並非支援的配置。

  2. 從以下預設位置開啟 AMConfig.properties 檔案:

    3. /etc/opt/SUNWam/config.

  3. https:// 取代出現的所有 http:// 協定,並將連接埠號變更為已啟用 SSL 的連接埠號。
  4. 儲存 AMConfig.properties 檔案。
  5. 重新啟動 Application Server。

在 SSL 模式中配置 Identity Server 到 Directory Server

為了在網路上提供安全通訊,Identity Server 包含 LDAPS 通訊協定。LDAPS 是標準的 LDAP 通訊協定,但於 Secure Sockets Layer (SSL) 頂層執行。為啟用 SSL 通訊,您必須先在 SSL 模式中配置 Directory Server,然後連接 Identity Server 到 Directory Server。基本步驟如下:

  1. 取得與安裝 Directory Server 的證書,並配置 Directory Server 伺服器以信任「認證機構」的證書。
  2. 開啟目錄中的 SSL。
  3. 配置認證、策略和平台服務以連接到啟用 SSL 的 Directory Server。
  4. 配置 Identity Server 以安全地連接到 Directory Server 後端。

在 SSL 模式中配置 Directory Server

為了在 SSL 模式中配置 Directory Server,必須取得並配置一個伺服器證書,配置 Directory Server 以信任 CAO 證書並啟用 SSL。有關如何完成這些工作的詳細指示在「Directory Server 管理指南」的第 11 章「管理驗證與加密」中。此文件位於以下位置:

您也可以從下列位置下載手冊的 PDF 檔:

http://docs.sun.com/coll/DirectoryServer_04q2
http://docs.sun.com/coll/DirectoryServer_04q2_zh_TW

如果您的 Directory Server 已經啟用 SSL,前往下一節以參考有關連接 Identity Server 到 Directory Server 的詳細資料。

連接 Identity Server 到啟用 SSL 的 Directory Server

將 Directory Server 配置為 SSL 模式後,您必須安全地將 Identity Server 連接到 Directory Server 後端。若要如此,請:

  1. 在 Identity Server 主控台中,前往服務配置模組的 LDAP 認證服務。
    1. 變更 Directory Server 連接埠為 SSL 連接埠。
    2. 選擇啟用對 LDAP 伺服器屬性的 SSL 存取。
  2. 前往服務配置模組中的成員關係認證服務。
    1. 變更 Directory Server 連接埠為 SSL 連接埠。
    2. 選擇啟用對 LDAP 伺服器屬性的 SSL 存取。
  3. 前往服務配置模組中的策略配置認證服務。
    1. 變更 Directory Server 連接埠為 SSL 連接埠。
    2. 選擇 LDAP SSL 屬性。
  4. 在文字編輯器中開啟 serverconfig.xml 。此檔案位於以下位置:

    5. etc/opt/SUNWam/config

    1. <Server> 元件中,變更下列值:

      2. port - 輸入 Identity Server 偵聽的安全連接埠埠號 (預設為 636)。

      type - 變更 SIMPLE 為 SSL。

    2. 儲存並關閉 serverconfig.xml
  5. 從以下預設位置開啟 AMConfig.properties 檔案:

    6. IdentityServer_base/SUNWam/config.

    變更下列特性:

    1. Directory Port = 636 (若使用預設值)
    2. ssl.enabed = true
    3. 儲存 AMConfig.properties
  6. 重新啟動伺服器。


上一頁      目錄      索引      下一頁     

Copyright 2004 Sun Microsystems, Inc. 版權所有。