第 3 章 在 SSL 模式中配置 Access Manager
使用具有簡單認證的安全套接層 (SSL) 可以保證機密性和資料完整性。若要在 SSL 模式中啟用 Access Manager,通常要:
-
以安全 Web 容器配置 Access Manager
-
將 Access Manager 配置到安全的 Directory Server
使用安全 Sun Java Enterprise System Web Server 配置 Access Manager
若要使用 Web Server 在 SSL 模式中配置 Access Manager,請參閱以下步驟:
若要配置安全的 Web Server
步驟
-
在 Access Manager 主控台中,移至服務配置模組並選取 [平台] 服務。在 [伺服器清單] 屬性中,移除 http:// 協定,然後加入 https:// 協定。按一下 [儲存]。
備註 –請務必按一下 [儲存]。否則,雖然您仍可以繼續執行下面的步驟,但您所做的所有配置變更均會遺失,並且無法以管理員身份登入以修正此問題。
步驟 2 至 24 描述 Web Server。
-
登入 Web Server 主控台。預設連接埠為 8888。
-
選取 Access Manager 於其上執行的 Web Server 實例,然後按一下 [管理]。
系統會顯示快顯式視窗,說明配置已變更。按一下 [確定]。
-
按一下畫面右上角的 [套用] 按鈕。
-
按一下 [套用變更]。
Web Server 會自動重新啟動。按一下 [確定] 以繼續。
-
停止選取的 Web Server 實例。
-
按一下 [安全] 標籤。
-
按一下 [建立資料庫]。
-
輸入新的資料庫密碼並按一下 [確定]。
請確保記下資料庫密碼,以備稍後使用。
-
建立憑證資料庫後,按一下 [請求憑證]。
-
在畫面提供的欄位中輸入資料。
[鍵值對欄位密碼] 欄位和您在步驟 9 中輸入的內容相同。在位置欄位中,您必須完整拼出位置。縮寫詞 (如 CA) 無效。必須定義所有欄位。在[共用名稱] 欄位中,提供您 Web Server 的主機名稱。
-
提交表格後,您將看到與以下訊息類似的訊息:
--BEGIN CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE REQUEST-- -
複製這些文字並提交,以請求憑證。
請確保您取得了 Root CA 憑證。
-
您將接收到包含憑證的憑證回應,如:
--BEGIN CERTIFICATE--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END CERTIFICATE--- -
將這些文字複製到剪貼簿,或儲存在檔案中。
-
移至 Web Server 主控台並按一下 [安裝憑證]。
-
按一下該 Server 的憑證。
-
在 [鍵值對檔案密碼] 欄位中輸入憑證資料庫密碼。
-
在提供的文字欄位中貼上憑證,或核取單選按鈕並在文字方塊中輸入檔案名稱。按一下 [提交]。
瀏覽器將顯示該憑證,並提供加入憑證的按鈕。
-
按一下 [安裝憑證]。
-
按一下 [可信任的憑證授權機構的憑證]。
-
以步驟 16 至 21 中所述的相同方式安裝 Root CA 憑證。
-
兩個憑證安裝完成後,按一下 Web Server 主控台中的 [喜好設定] 標籤。
-
如果要在不同的連接埠上啟用 SSL,請選取 [加入偵聽套接字]。然後選取 [編輯偵聽套接字]。
-
從 [停用至啟用] 變更安全性狀態,然後按一下 [確定] 提交變更,再按一下 [套用] 和 [套用變更]。
步驟 26–29 適用於 Access Manager。
-
開啟 AMConfig.properties 檔案。依預設,此檔案位於 etc/opt/SUNWam/config。
-
用 https:// 取代所有出現的 http:// 協定,Web Server 實例目錄中的除外。AMConfig.properties 中也指定了這一點,但必須保持一致。
-
儲存 AMConfig.properties 檔案。
-
在 Web Server 主控台中,按一下託管 Web 伺服器實例之 Access Manager 的 [開啟/關閉] 按鈕。
Web Server 會在 [啟動/停止] 頁面中顯示一個文字方塊。
-
在文字欄位中輸入憑證資料庫密碼並選取 [啟動]。
以安全 Sun Java System Application Server 配置 Access Manager
將 Access Manager 設定為在已啟用 SSL 的 Application Server 上執行,過程分兩步驟。首先,將 Application Server 實例與安裝的 Access Manager 安全結合在一起,然後配置 Access Manager 本身。
使用 SSL 設定 Application Server 6.2
本節說明於 SSL 模式下設定 Application Server 6.2 的步驟。
安全結合 Application Server 實例
步驟
-
在您的瀏覽器中輸入以下位址,以管理員身份登入 Sun Java System Application Server 主控台:
http://fullservername:port
預設連接埠為 4848。
-
輸入您在安裝時輸入的使用者名稱和密碼。
-
選取您在其上安裝 (或將要安裝) 的 Application Server 實例。右框架會顯示配置已變更。
-
按一下 [套用變更]。
-
按一下 [重新啟動]。Application Server 會自動重新啟動。
-
在左框架中,按一下 [安全]。
-
按一下 [管理資料庫] 標籤。
-
按一下 [建立資料庫] (如果未選取)。
-
輸入新的資料庫密碼並確認,然後按一下 [確定] 按鈕。請確保記下資料庫密碼,以備稍後使用。
-
建立憑證資料庫後,按一下 [憑證管理] 標籤。
-
按一下 [請求] 連結 (如果未選取)。
-
為憑證輸入以下請求資料
-
如果該憑證為新憑證或更新的憑證,則選取它。許多憑證會在一段特定時間後過期,某些憑證授權機構 (CA) 會自動給您傳送換新通知。
-
指定您要提交憑證請求的方式。
如果希望 CA 接收電子郵件訊息形式的請求,請核取 [CA 電子郵件] 並輸入 CA 的電子郵件位址。如需 CA 清單,請按一下 [可用憑證授權機構清單]。
如果您從使用憑證伺服器的內部 CA 請求憑證,則請按一下 [CA URL] 並輸入憑證伺服器的 URL。此 URL 應指向用於處理憑證申請的憑證伺服器程式。
-
輸入您鍵值對檔案的密碼 (您在步驟 9 中指定的密碼)。
-
輸入以下識別資訊:
共用名稱。伺服器的完整名稱,包含連接埠號。
請求者名稱。請求者的名稱。
電話號碼。請求者的電話號碼。
共用名稱 。Sun Java System Application Server 的完全合格名稱,將會安裝數位憑證。
電子郵件位址。管理員的電子郵件位址。
組織名稱。您的組織名稱。憑證授權機構可能會要求在此屬性中輸入的所有主機名稱均屬於註冊到該組織的領域。
組織單元名稱。組織的分支、部門或其他運作部門的名稱。
地區名稱 (城市)。您所在城市或城鎮的名稱。
州的名稱。如果您的組織分別在美國或加拿大,此項指組織所在州或省的名稱。請勿縮寫。
國家/地區代碼。代表您國家/地區的兩個字母的 ISO 代碼。例如,美國的代碼是 US。
-
-
按一下 [確定] 按鈕。畫面上將會顯示訊息,例如:
--BEGIN NEW CERTIFICATE REQUEST--- afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl --END NEW CERTIFICATE REQUEST--
-
將所有這些文字複製到一個檔案並按一下 [確定]。請確定您取得了 Root CA 憑證。
-
選取一個 CA,然後依循該授權單位網站的指示,取得數位憑證。您可以從 CMS、Verisign 或 Entrust.net 取得憑證
-
從憑證授權機構接收到數位憑證後,您可以將文字複製到剪貼簿,或將其儲存到檔案中。
-
移至 Application Server 主控台並按一下 [安裝] 連結。
-
選取 [此伺服器的憑證]。
-
在 [鍵值對檔案密碼] 欄位中輸入憑證資料庫密碼。
-
在提供的文字欄位、訊息文字 (帶有標頭) 中貼上憑證,或在此檔案文字方塊的訊息中輸入檔案名稱。選取相應的單選按鈕。
-
按一下 [確定] 按鈕。瀏覽器會顯示憑證,並提供加入憑證的按鈕。
-
按一下 [新增伺服器憑證]。
-
以上述方式安裝 Root CA 憑證。但是,請選取 [可信任的憑證授權機構的憑證]。
-
安裝完兩個憑證後,展開左框架中的 HTTP 伺服器節點。
-
選取 HTTP 伺服器下的 HTTP 偵聽程式。
-
選取 http-listener-1。瀏覽器會顯示套接字資訊。
-
將 http-listener-1 使用之連接埠的值從安裝應用程式伺服器時所輸入的值變更為更適當的值,如:443。
-
選取 [啟用 SSL/TLS]。
-
選取 [憑證別名]。
-
指定回傳伺服器。該伺服器應該與步驟 12 中指定的共用名稱相符。
-
按一下 [儲存]。
-
選取您要在其上安裝 Access Manager 軟體的 Application Server 實例。右框架會顯示配置已變更。
-
按一下 [套用變更]。
-
按一下 [重新啟動]。Application Server 會自動重新啟動。
使用 SSL 配置 Application Server 8.1
使用 SSL 配置 Application Server 8.1 的基本步驟如下。請參閱 Application Server 8.1 文件以取得詳細的指示。
-
透過 Application Server 管理主控台在 Application Server 上建立一個安全的連接埠。如需更多資訊,請參閱位於下列位置之「Sun Java System Application Server Enterprise Edition 8.1 管理指南」中的「配置安全性」。
http://docs.sun.com/app/docs/coll/1310.1 與 http://docs.sun.com/app/docs/coll/1416.1
-
驗證信任伺服器憑證的憑證授權機構 (CA) 是否存在於 web 容器的信任資料庫中。之後,獲取並安裝 web 容器的伺服器憑證。如需更多資訊,請參閱位於下列位置之「Sun Java System Application Server Enterprise Edition 8.1 管理指南」中的「使用證書和SSL」。
http://docs.sun.com/app/docs/coll/1310.1 與 http://docs.sun.com/app/docs/coll/1416.1
-
重新啟動 Web 容器。
在 SSL 模式中配置 Access Manager
本節說明在 SSL 模式中配置 Access Manager 的步驟。設定 Access Manager 的 SSL 之前,請確定您已為您的部署配置 Web 容器。
若要在 SSL 模式中配置 Access Manager
步驟
-
在 Access Manager 主控台中,移至服務配置模組並選取 [平台] 服務。在伺服器清單屬性中,加入使用 HTTPS 協定的相同的 URL 和一個已啟用 SSL 的連接埠號。按一下 [儲存]。
備註 –如果 Access Manager 單一實例正在偵聽兩個連接埠 (一個 HTTP,一個 HTTPS),且您試圖以停止的 Cookie 存取 Access Manager,Access Manager 將沒有回應。這並非支援的配置。
-
從下列預設位置開啟 AMConfig.properties 檔案:
/etc/opt/SUNWam/config。
-
用 https:// 取代所有出現的 http:// 協定,並將連接埠埠號變更為已啟用 SSL 的連接埠埠號。
-
儲存 AMConfig.properties 檔案。
-
重新啟動 Application Server。
使用安全 BEA WebLogic Server 配置 AMSDK
在 SSL 中使用 AMSDK 進行配置之前,必須先安裝 BEA WebLogic Server 並配置成 Web 容器。如需安裝說明,請參閱 BEA WebLogic 伺服器文件。若要針對 Access Manager 將 WebLogic 配置為 Web 容器,請參閱第 1 章, Access Manager 7 2005Q4 配置程序檔。
若要配置安全的 WebLogic 實例
步驟
-
使用快速開始功能表來建立網域
-
移至 BEA WebLogic 安裝目錄並產生憑證請求。
-
使用 CSR 文字檔將伺服器憑證套用至 CA。
-
將核准的憑證儲存到文字檔中。例如,approvedcert.txt。
-
使用下列指令,載入 cacerts 中的根 CA:
cd jdk141_03/jre/lib/security/
jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "<alias name>" -storepass changeit -file /opt/bea81/cacert.txt
-
使用以下指令來載入伺服器憑證:
jdk141_03/jre/bin/keytool -import -keystore <keystorename> -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"
-
使用您的使用者名稱和密碼登入 BEA WebLogic 主控台。
-
瀏覽至以下位置:
您的網域 > 伺服器 > myserver > 配置金鑰庫
-
選取自訂身份和 Java Standard Trust
-
輸入鍵值儲存區位置。例如,/opt/bea81/keystore。
-
輸入鍵值儲存區密碼和鍵值儲存區通行密語。例如:
鍵值儲存區密碼:JKS/Java Standard Trust (對 WL 8.1,則僅為 JKS)
鍵值儲存區通行密語:changeit
-
檢閱 SSL 私密金鑰設定的私密金鑰別名與密碼。
備註 –您必須使用完整強度 SSL 授權,否則 SSL 啟動將會失敗
-
在 Access Manager 中,下列 AmConfig.properties 中的參數會於安裝期間自動配置。如果未自動配置,您可以編輯它們:
com.sun.identity.jss.donotInstallAtHighestPriority=true [ this is not required for AM 6.3 and above] com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption
如果您的 JDK 路徑如下所示:
com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se
那麼請使用鍵工具公用程式,在憑證資料庫中匯入根 CA。例如:
/usr/jdk/entsys-j2se/jre/lib/security /usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file /opt/bea81/cacert.txt
鍵工具公用程式位於以下目錄中:
/usr/jdk/entsys-j2se/jre/bin/keytool
-
從 Access Manager amadmin 指令行公用程式移除 -D"java.protocol.handler.pkgs=com.iplanet.services.comm"。
-
在 SSL 模式中配置 Access Manager。如需更多資訊,請參閱在 SSL 模式中配置 Access Manager。
使用安全 IBM WebSphere Application Server 配置 AMSDK
在 SSL 中使用 AMSDK 進行配置之前,必須先安裝 IBM WebSphere Server 並配置成 Web 容器。如需安裝說明,請參閱 WebSphere 伺服器的文件。若要針對 Access Manager 將 WebLogic 配置為 Web 容器,請參閱第 1 章, Access Manager 7 2005Q4 配置程序檔。
若要配置安全的 WebSphere 實例
步驟
-
啟動 ikeyman.sh (位於 Websphere /bin 目錄下)。
-
從 [簽署人] 功能表匯入憑證授權機構 (CA) 的憑證。
-
從 [個人憑證] 功能表產生 CSR。
-
擷取在上個步驟中建立的憑證。
-
選取 [個人憑證] 並匯入伺服器憑證。
-
從 WebSphere 主控台,變更預設 SSL 設定並選取密碼。
-
設定預設 IBM JSSE SSL 提供者。
-
輸入以下指令,從您剛才建立的檔案,將 Root CA 憑證匯入到 Application Server JVM 鍵值儲存區:
$ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert -keystore ../jre/lib/security/cacerts -file /full_path_cacert_filename.txt
app-server-root-dir 是應用程式伺服器的根目錄,而 full_path_cacert_filename.txt 是包含憑證的檔案之完整路徑。
-
在 Access Manager 中,更新下列 AmConfig.properties 中的參數以使用 JSSE:
com.sun.identity.jss.donotInstallAtHighestPriority=true com.iplanet.security.SecureRandomFactoryImpl=com.iplanet. am.util.SecureRandomFactoryImpl com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory. JSSESocketFactory com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption
-
在 SSL 模式中配置 Access Manager。如需更多資訊,請參閱在 SSL 模式中配置 Access Manager。
在 SSL 模式中配置 Access Manager 到 Directory Server
為了在網路上提供安全通訊,Access Manager 包含 LDAPS 通訊協定。LDAPS 是標準的 LDAP 通訊協定,但於 Secure Sockets Layer (SSL) 頂層執行。為啟用 SSL 通訊,您必須先在 SSL 模式中配置 Directory Server,然後連接 Access Manager 到 Directory Server。基本步驟如下:
-
取得並安裝 Directory Server 的憑證,並將 Directory Server 配置為信任憑證授權機構 (CA) 的憑證。
-
開啟目錄中的 SSL。
-
配置認證、策略和平台服務以連接到啟用 SSL 的 Directory Server。
-
配置 Access Manager 以安全地連接到 Directory Server 後端。
在 SSL 模式中配置 Directory Server
為了能在 SSL 模式下配置 Directory Server,您必須取得與安裝伺服器憑證、將 Directory Server 配置為信任 CA 的憑證,然後啟用 SSL。有關如何完成這些工作的詳細指示,請參閱「Directory Server 管理指南」中的第十一章 「管理認證和加密」。 此文件位於以下位置:
http://docs.sun.com/coll/DirectoryServer_04q2 與 http://docs.sun.com/coll/DirectoryServer_04q2_zh_TW
如果您的 Directory Server 已經啟用 SSL,前往下一節以參考有關連接 Access Manager 到 Directory Server 的詳細資料。
連接 Access Manager 到啟用 SSL 的 Directory Server
將 Directory Server 配置為 SSL 模式後,您必須安全地將 Access Manager 連接到 Directory Server 後端。
將 Access Manager 連接至 Directory Server
步驟
- © 2010, Oracle Corporation and/or its affiliates