上一页      目录      索引      下一页
Sun Java(TM) System Directory Proxy Server 5.2 2005Q1 管理指南

第 12 章
配置安全性

Directory Proxy Server 支持 SSL/TLS，以便在其客户机和后端目录服务器之间进行安全通信，详细信息，请参阅：

准备设置 SSL 和 TLS
设置 SSL 通信

本章假设您熟悉以下概念：

公共密钥加密
安全套接字层 (SSL) 协议
Intranet、Extranet 和 Internet 安全性
数字证书在企业中的作用

Directory Proxy Server 有两个可单独配置的通信链接。每个通信链接都可以是明文，也可以使用传输层安全性 (TLS) 或安全套接字层 (SSL) 协议进行加密。由于可以使用两个单独的通信链接，所以您可以在 LDAP 客户机和 Directory Proxy Server 之间以及 Directory Proxy Server 和 LDAP 目录之间配置启用 TLS 或 SSL 的通信。图 12-1 说明了 Directory Proxy Server 的此项功能。

图 12-1 Directory Proxy Server 中两个单独的通信链接

Directory Proxy Server 可以验证客户机和服务器证书，条件是被验证的证书的受信任根 CA 证书已安装，并且可由 Directory Proxy Server 使用。

图 12-2 说明了 Directory Proxy Server 如何在 SSL 会话建立之后验证客户机提供给它的证书。

图 12-2 基于证书的客户机验证

---

准备设置 SSL 和 TLS

设置 SSL 和 TLS 需采用不同的方法，具体取决于您是使用内部安全设备、外部硬件设备还是两者都使用。本节将向您说明如何完成此设置。

为内部安全设备设置 SSL 或 TLS

要为内部安全设备设置 SSL 或 TLS，必须申请并安装证书。要申请证书，请运行“证书申请向导”。要安装证书，请运行“证书安装向导”。出现提示时，请指定您希望在内部安全设备上安装证书。

为外部安全设备设置 SSL 或 TLS

要为外部安全设备（如 FORTEZZA）设置 SSL，请首先安装外部设备制造商提供的 PKCS #11 模块。然后运行“证书申请向导”，出现提示时，指定外部安全设备。

为内部和外部安全设备设置 SSL

企业中的某些服务器和客户机可能只使用内部安全设备，而其他的则可能同时使用内部和外部安全设备。如果服务器需要与同时运行内部和外部安全设备的产品进行通信，则请运行两次“证书申请向导”。首次使用期间，当出现提示时，请指定内部安全设备。在第二次使用期间，当出现提示时，请指定外部安全设备。

---

设置 SSL 通信

一般来说，要为 Directory Proxy Server 设置启用 SSL 的通信，需执行以下步骤：

为 Directory Proxy Server 安装服务器证书
在 Directory Proxy Server 和客户机之间建立 SSL 连接
在 Directory Proxy Server 和 LDAP 服务器之间建立 SSL 连接

为 Directory Proxy Server 安装服务器证书

在申请和安装证书时，需使用两个向导。可以使用“证书申请向导”来申请新服务器证书或续订正在使用中的证书。可以使用“证书安装向导”来安装您从证书授权机构 (CA) 收到的证书。首次使用“证书申请向导”时，它还将为您创建并安装密钥和证书数据库。

要为 Directory Proxy Server 安装服务器证书，请执行以下过程：

生成服务器证书申请
发送服务器证书申请
安装证书
安装 CA 证书或服务器证书链
备份和恢复证书数据库

SSL 证书

Directory Proxy Server 可以安装三种类型的证书：服务器证书、服务器证书链，或受信任的 CA 证书。

服务器证书是仅与相应服务器关联的单一证书。它向客户机标识您的服务器。必须向 CA 申请这种类型的证书。要获取并安装服务器证书，请生成一份申请并将其发送给 CA。然后安装证书。

服务器证书链是您公司的内部证书服务器或已知 CA 自动为您生成的证书的集合。如果要进行标识身份证明，则链中的证书可以追溯到原始的 CA。每当您获取或安装新服务器证书时，都需要提供此证明。

受信任的 CA 证书是您公司的内部证书服务器或已知 CA 自动为您生成的单一证书。受信任的 CA 证书用于验证客户机。

要获取受信任的 CA 证书，请首先访问内部证书服务器或 CA 的 Web 站点。复制必要的证书信息并将其保存到文件。然后使用“证书安装向导”来安装证书。

可以在一台服务器上安装任意数量的 SSL 证书。在为Directory Server的实例安装 SSL 时，需要至少安装一个服务器证书和一个受信任的 CA 证书。

生成服务器证书申请

可以使用 Directory Proxy Server 生成证书申请，然后可以将该证书申请提交给证书授权机构 (CA)。

在 Directory Proxy Server 导航树中，选择需要使用 SSL 加密的服务器实例。
双击该服务器实例或单击“打开”，以便打开服务器实例的管理窗口。
从“控制台”菜单中，选择“安全”>“管理证书”。

您也可以单击“管理证书”任务。

如果安全设备没有密码，则系统会提示您输入新密码。

单击“申请”，打开“证书申请向导”。
选择“手动申请证书”，然后单击“下一步”。
输入申请的信息：

服务器名称。（可选）输入您正在为其申请证书的机器的全限定主机名。

组织。（可选）输入您的组织的名称。

组织单位。（可选）输入您的分部、部门或其他组织单位。

市/县。（可选）输入您的组织单位所在的城市或区县。

省/自治区。（可选）输入您的组织单位所在的省份或自治区。

国家/地区。（可选）从下拉菜单中选择您的组织单位所在的国家或地区。

您可以使用以下按钮在申请表的两个视图之间切换：

显示 DN。单击此按钮可显示标识名 (DN) 格式的申请者信息。只有当您在字段中输入信息时，才可以看到此按钮。

显示字段。单击此按钮可在字段中显示申请者信息。只有以 DN 格式输入信息时，才可以看到此按钮。

单击“下一步”。
输入将存储此证书的安全设备的密码。

如果您正在使用内部（软件）安全设备，则输入的就是密钥和证书数据库的密码。如果您正在使用外部（硬件）模块，则输入的将是您的智能卡或其他安全设备的密码。

单击“下一步”。
选择下列选项之一：

复制到剪贴板。单击以将您的证书申请复制到剪贴板。

保存到文件。单击以将您的申请保存为文本文件。将提示您选择文件的名称和位置。

单击“完成”，关闭“证书申请向导”。

发送服务器证书申请

生成服务器证书申请后，请将其发送到 CA 以进行处理。许多 CA 允许您通过其 Web 站点提交证书申请。其他的 CA 可能要求您向他们发送包含申请的电子邮件。

使用电子邮件程序创建新的电子邮件。
将证书申请粘贴到电子邮件中。

如果您将证书申请保存到文件，则请在文本编辑器中将其打开。将申请复制并粘贴到电子邮件的正文中。

如果您将证书申请复制到剪贴板，那么请将其粘贴到电子邮件的正文中。

输入申请的主题和收件人。依据您正在使用的 CA，主题和收件人的类型会有所不同。有关详细信息，请参见您的 CA Web 站点。
将电子邮件发送到 CA。

提交申请后，必须等待 CA 对您的证书进行响应。依据 CA 的不同，往返时间会有很大不同。如果您的公司具有内部 CA，则可能只需要一两天即可接收到您的证书。如果您正在使用外部 CA，则可能要花几个星期才能收到该 CA 对您申请的响应。

安装证书

依据 CA 的不同，您可能会以电子邮件的形式收到证书，或者可能需要从 CA 的 Web 站点检索证书。具有证书后，您便可以将其备份并安装。

在文本文件中保存您从 CA 收到的证书数据。

如果您丢失了证书数据，则可以使用此备份文件重新安装证书。

在 Directory Proxy Server 导航树中，选择您希望在其上安装证书的服务器实例。
单击“打开”，打开服务器实例的管理窗口。
在“任务”选项卡上，单击“管理证书”任务按钮。

也可以打开“控制台”菜单，然后选择“安全”>“管理证书”。

单击“服务器证书”选项卡。
指定存储该证书的位置。

如果希望将此证书存储在内部安全设备上，请从“安全设备”下拉列表中选择内部（软件），然后单击“安装”。

如果希望将此证书存储在外部硬件设备上，请从“安全设备”下拉列表中选择设备，然后单击“安装”。

输入证书的位置或输入证书的文本。

在本地文件中。如果您的证书存储在系统上的文本文件中，请输入该文件的完整路径。

在以下编码文本块中。如果您将证书复制到剪贴板中，请通过从“剪贴板”按钮单击“粘贴”，将证书的文本粘贴到文本字段中。

单击“下一步”。

如果您上面输入的证书信息是有效的，则会看到包含该证书详细信息的页面。

验证证书信息是否正确，然后单击“下一步”。
输入证书的名称，然后单击“下一步”。
输入将持有此证书的安全设备的密码。

如果您在内部（软件）安全设备上安装证书，请输入密钥和证书数据库的密码。如果您在外部（硬件）安全设备上安装证书，请输入该设备的密码。

单击“完成”。

安装 CA 证书或服务器证书链

从 CA 获取 CA 证书或服务器证书链。
在 Directory Proxy Server 导航树中，选择您希望在其上安装 CA 证书的服务器实例。
单击“打开”，打开服务器实例的管理窗口。
在“任务”选项卡上，单击“管理证书”任务按钮。

也可以打开“控制台”菜单，然后选择“安全”>“管理证书”。

选择“CA 证书”选项卡，然后单击“安装”。
输入证书的位置或输入证书的文本：

在本地文件中。如果证书存储在系统上的文本文件中，请输入该文件的完整路径。

在以下编码文本块中。如果您将证书复制到剪贴板中，请通过从“剪贴板”按钮单击“粘贴”，将证书的文本粘贴到文本字段中。

单击“下一步”。

如果您上面输入的证书信息是有效的，则会看到包含该证书详细信息的页面。

验证证书信息是否正确，然后单击“下一步”。
输入证书的名称，然后单击“下一步”。
为该证书选择信任选项：

接受客户机的连接。如果希望信任此 CA 颁发的客户机证书，请选中此框。

建立到其他服务器的连接。如果希望信任此 CA 颁发的服务器证书，请选中此框。

单击“完成”。

备份和恢复证书数据库

每当您安装证书时，都应该备份证书数据库。如果数据库遭到损坏，则可以从此备份中恢复证书信息。

备份证书数据库

浏览服务器根文件夹。
将 alias 文件夹中的所有文件复制到其他位置（最好选择在不同的磁盘上）。

该文件夹包含证书以及信任数据库的专用密钥。

从备份中恢复证书数据库

将备份文件复制到服务器根文件夹的 alias 子文件夹中。

警告	如果从备份中恢复证书数据库，则备份后安装的任何证书都将丢失。恢复证书数据库之前，要确保您拥有所有证书的副本，以便需要时重新安装。

在 Directory Proxy Server 和客户机之间建立 SSL 连接

要在 Directory Proxy Server 和 LDAP 客户机之间建立 SSL 连接，请执行本部分介绍的过程。

将 Directory Proxy Server CA 证书添加到客户机信任数据库中

注	只有在客户机验证服务器证书时，该步骤才是必需的。所有 Netscape 和 Sun 客户机都要进行验证。但是，也有不进行验证的客户机。在这种情况下，设置信任不是必需的。

当 Directory Proxy Server 向 LDAP 客户机出示其证书时，客户机试图验证证书的有效性。作为此验证过程的一部分，客户机会检查颁发该证书的 CA 是否受客户机信任。因此，颁发了 Directory Proxy Server 服务器证书的 CA 根证书必须安装在客户机的信任数据库中。

在安装 Directory Proxy Server 服务器证书的最后一个步骤中，将 Directory Proxy Server CA 证书复制到文本文件中。遵循每个客户机应用程序的文档，并在其信任数据库中安装 CA 证书。

对 Directory Proxy Server 系统配置进行更改

通过 Directory Proxy Server 控制台窗口中的“设置”和“加密”选项卡，您可以为 Directory Proxy Server 定义启用 SSL 的通信条件。有关详细信息，请参见创建系统配置实例。

对相应的系统配置实例进行以下更改，并保存所作的更改。

在“设置”选项卡中，指定“SSL 端口”字段中的值。Directory Proxy Server 将侦听您为 LDAPS（通过 SSL 的 LDAP）连接指定的端口号。缺省情况下，Directory Proxy Server 不侦听来自 LDAPS 客户机的连接。该值必须存在，以允许来自客户机的 LDAPS 连接，这些客户机使用备用端口 636 方法建立 TLS/SSL。该值必须不同于“端口”字段中的值。（该选项还需要“加密”选项卡上的 TLS/SSL 配置。）

如果您需要查看参数的描述，请单击“帮助”按钮。

在“SSL/TLS 加密”选项卡中，指定所有需要的信息。

如果您需要查看参数的描述，请单击“帮助”按钮。

对 Directory Proxy Server 网络组进行更改

Directory Proxy Server 使用网络组来标识客户机，并确定它们对包含在 LDAP 目录中的信息的访问特权；有关详细信息，请参见创建和管理组。

在您配置的每个组中，设置“加密”选项卡中的相应选项，以表明您是否希望强制客户机在发送任何 LDAP 操作之前开始 TLS 会话、让客户机自己决定，还是不允许客户机开始 TLS 会话。例如，您可能希望启用“SSL 可用”和“客户机必须建立 SSL 会话”选项。有关“加密”选项卡中显示的选项的详细信息，请参见在 Directory Proxy Server 中创建网络组中的步骤 9。

如果启用了跟随引用，则应该检查“引荐 SSL 策略”。通过选择窗口左侧列表中的“引荐”来启用跟随引用。

Directory Proxy Server 可以遵循后端服务器返回的引用。返回的 LDAP URL 必须是 RFC 2255 格式。如果没有给出主机端口，则客户必须对要联系的相应 LDAP 服务器有一定了解。

Directory Proxy Server 将不具有主机或端口号的 LDAP URL 解释为颁发该引用的相同主机的引用。例如：

ldap:///dc=central,dc=sun,dc=com	对具有不同基的相同主机、端口的引用。
ldap://:10389/	对相同主机但不同端口的引用。
ldap://host/	对缺省端口 389 上的主机 "host" 的引用。

在 Directory Proxy Server 和 LDAP 服务器之间建立 SSL 连接

要在 Directory Proxy Server 和 LDAP 服务器之间建立 SSL 连接，请执行本部分介绍的过程。

安装 CA 证书或服务器证书链

如果您希望 Directory Proxy Server 验证 LDAP 服务器提供给它的证书，则此步骤是必需的。有关详细信息，请参见安装 CA 证书或服务器证书链。

将 Directory Proxy Server CA 证书添加到 LDAP 服务器的信任数据库中

当 Directory Proxy Server 向 LDAP 服务器出示其证书时，该服务器试图验证证书的有效性。作为此验证过程的一部分，服务器检查颁发 Directory Proxy Server 证书的 CA 是否受服务器信任。因此，颁发了 Directory Proxy Server 证书的 CA 的根证书必须安装在 LDAP 服务器的信任数据库中。

在安装 Directory Proxy Server 服务器证书的最后一个步骤中，将 Directory Proxy Server CA 证书复制到文本文件中。遵循每个 LDAP 服务器的文档，并在其信任数据库中安装 CA 证书。如果正在使用 Sun Java System Directory Server，则可以使用“管理证书向导”（该向导可以从Directory Server控制台的“任务”选项卡启动），将 CA 证书添加到Directory Server的信任数据库中。

对 LDAP 服务器属性进行更改

通过“LDAP 服务器属性”窗口中的“加密”选项卡，您可以为每台 LDAP 服务器定义启用 SSL 的通信条件。有关详细信息，请参见创建 LDAP 服务器属性对象。

对相应的 LDAP 服务器属性对象进行以下更改，并保存所作的更改。

将“安全策略”选项设置为相应的值，以便 Directory Proxy Server 始终与后端服务器建立 SSL/TLS，而绝不与后端服务器建立 TLS/SSL，或者当客户机对 Directory Proxy Server 执行相同操作时与后端服务器只建立 SSL/TLS。
将“X.509 证书接受方 DN”字段设置为 LDAP 服务器的证书接受方名称（X.509 证书中的接受方特性）。如果已指定，则 Directory Proxy Server 将尝试匹配该证书接受方与 LDAP 服务器证书的现有接受方，如果不匹配，则拒绝 TLS 会话。（此特性允许 Directory Proxy Server 对它正在连接的 LDAP 服务器进行验证。如果未设置此特性，Directory Proxy Server 就会接受任何名称。）

上一页      目录      索引      下一页

---

文件号码 819-2018。 版权所有 2005 Sun Microsystems, Inc. 保留所有权利。