這些特性識別 SSL ApprovalCallback 的值。如果已啟用 checkSubjectAltName 或 resolveIPAddress 功能,您必須以 com.iplanet.am.admin.cli.certdb.dir 目錄中的前綴值 com.iplanet.am.admin.cli.certdb.prefix 來建立 cert7.db 和 key3.db。然後重新啟動 Access Manager。
com.iplanet.am.jssproxy.checkSubjectAltName
預設值為 false。當啟用時,伺服器憑證包括「主旨替代名稱」(SubjectAltName) 副檔名,且 Access Manager 檢查副檔名中所有名稱項目。若 SubjectAltName 副檔名中的一個名稱與伺服器 FQDN 相同,則 Access Manager 會繼續 SSL 訊號交換模式。若要啟用此特性,將其設定為信任 FQDN 的逗號分隔清單。例如:com.iplanet.am.jssproxy.checkSubjectAltName= amserv1.example.com,amserv2.example.com
com.iplanet.am.jssproxy.resolveIPAddress
預設值為 false。
com.iplanet.am.jssproxy.trustAllServerCerts
預設值為 false。若啟用 (true), Access Manager 會忽略所有與憑證相關的問題 (如名稱衝突),繼續 SSL 訊號交換模式。若要防止可能的安全性風險,僅為測試目的啟用此特性或當企業網路受到嚴謹的控制時。若可能發生安全性風險 (例如,若一個伺服器於不同的網路上連接一個伺服器),則請避免啟用此特性。
com.iplanet.am.jssproxy.SSLTrustHostList 若設定了此特性,Access Manager 會檢查正存取伺服器主機上的平台伺服器清單。若平台伺服器清單中兩個伺服器的伺服器 FQDN 相符,Access Manager 會繼續 SSL 訊號交換模式。使用下列語法以設定特性:
com.iplanet.am.jssproxy.SSLTrustHostList = fqdn_am_server1 ,fqdn_am_server2, fqdn_am_server3
com.sun.identity.jss.donotInstallAtHighestPriority
預設值為 false。決定是否以最高優先權將 JSS 新增到 JCE。如果數位簽名與加密應該使用其他 JCE 提供者,請設定為 true。