Proxy Server 支援公開金鑰加密標準 (PKCS) #11,該標準定義在 SSL 和 PKCS #11 模組之間通訊所使用的介面。PKCS #11 模組用於與 SSL 硬體加速器建立標準連結。所匯入的外部硬體加速器之憑證和金鑰儲存在 secmod.db 檔案中,此檔案是在安裝 PKCS #11 模組時產生的。此檔案位於 server-root/alias 目錄中。
您可以使用 modutil 工具,以 .jar 檔案或物件檔案的形式安裝 PKCS #11 模組。
確定包括 Administration Server 在內的所有伺服器都已停止。
移至包含資料庫的 server-root/alias 目錄。
將 server-root/bin/proxy/admin/bin 增加到 PATH 中。
在 server-root/bin/proxy/admin/bin 中找到 modutil。
設定環境。
在 UNIX 上:setenv
LD_LIBRARY_PATH server-root/bin/proxy/lib:${LD_LIBRARY_PATH}
在 Windows 上,將以下內容增加到 PATH 中
LD_LIBRARY_PATH server-root/bin/proxy/bin
您可以在 server-root/proxy-admserv/start 下找到電腦的 PATH。
在終端機視窗中,鍵入 modutil。
將列出各種選項。
執行所需的動作。
例如,若要在 UNIX 中增加 PKCS #11 模組,請輸入:
modutil -add (PKCS#11 檔案的名稱) -libfile (PKCS #11 的 libfile) -nocertdb -dbdir . (您的 db 目錄)
使用 pk12util 可讓您從內部資料庫匯出憑證和金鑰,並將其匯入內部或外部 PKCS #11 模組。您可以將憑證和金鑰始終匯出至內部資料庫,但多數外部記號不會允許\您匯出憑證和金鑰。依預設,pk12util 使用名為 cert8.db 和 key3.db 的憑證和金鑰資料庫。
移至包含資料庫的 server-root/alias 目錄。
將 server-root/bin/proxy/admin/bin 增加到 PATH 中。
在 server-root/bin/proxy/admin/bin 中找到 pk12util。
設定環境。
在 UNIX 上:
setenv LD_LIBRARY_PATH/ server-root/bin/proxy/lib:${LD_LIBRARY_PATH}
在 Windows 上,將以下內容增加到 PATH 中
LD_LIBRARY_PATH server-root/bin/proxy/bin
您可以在下列目錄下找到電腦的 PATH: server-root/proxy-admserv/start。
在終端機視窗中,鍵入 pk12util。
將列出各種選項。
執行所需的動作。
例如,在 UNIX 中鍵入
pk12util -o certpk12 -n Server-Cert [-d /server/alias] [-P https-test-host]
鍵入資料庫密碼。
鍵入 pkcs12 密碼。
移至包含資料庫的 server-root/alias 目錄。
將 server-root/bin/proxy/admin/bin 增加到 PATH 中。
在 server-root/bin/proxy/admin/bin 中找到 pk12util。
設定環境。
例如︰
在終端機視窗中,鍵入 pk12util。
將列出各種選項。
執行所需的動作。
例如,在 UNIX 中輸入:
pk12util -i pk12_sunspot [-d certdir][-h “nCipher”][-P https-jones.redplanet.com-jones-]
-P 必須跟在 -h 之後,且為最後一個引數。
鍵入正確的記號名稱,包括大寫字母和引號之間的空格。
鍵入資料庫密碼。
鍵入 pkcs12 密碼。
如果伺服器憑證安裝至外部 PKCS #11 模組 (例如硬體加速器) 中,將無法使用該憑證來啟動伺服器,除非編輯 server.xml 檔案,或是依下述方式指定憑證名稱。
伺服器會自動嘗試使用名為 Server-Cert 的憑證進行啟動。然而,外部 PKCS #11 模組中的憑證,會在其識別碼中包括模組的其中一個記號名稱。例如,安裝於外部智慧卡讀取器上名為 smartcard0 的伺服器憑證,就會命名為 smartcard0:Server-Cert。
若要使用安裝在外部模組中的憑證啟動伺服器,必須為伺服器執行所在的偵聽通訊端指定憑證名稱。
如果未啟用偵聽通訊端的安全性,則不會列出憑證資訊。若要選取偵聽通訊端的憑證名稱,必須先確定已在該偵聽通訊端上啟用安全性。如需更多資訊,請參閱為偵聽通訊端啟用安全性。
存取 Administration Server 或 Server Manager,然後按一下 [Preferences] 標籤。
按一下 [Edit Listen Sockets] 連結。
按一下要與憑證建立關聯的偵聽通訊端連結。
從 [Server Certificate Name] 下拉式清單中,選取偵聽通訊端的伺服器憑證,然後按一下 [OK]。
該清單包含所有已安裝的內部和外部憑證。
您也可以藉由手動編輯 server.xml 檔案,要求伺服器改用該伺服器憑證啟動。 將 SSLPARAMS 中的 servercertnickname 屬性變更為:
$TOKENNAME:Server-Cert
若要尋找 $TOKENNAME 應使用的值,請移至伺服器的 [Security] 標籤,並選取 [Manage Certificates] 連結。登入到儲存 Server-Cert 的外部模組時,$TOKENNAME:$NICKNAME 表單的清單中將顯示其憑證。
如果未建立信任資料庫,則在請求或安裝外部 PKCS #11 模組的憑證時,會自動建立一個。建立的預設資料庫沒有密碼,且無法存取。外部模組可以工作,但您不能申請和安裝伺服器憑證。如果已建立沒有密碼的預設資料庫,請使用 [Security] 標籤上的 [Create Database] 頁面來設定密碼。