这些属性标识了 SSL ApprovalCallback 的值。如果启用了 checkSubjectAltName 或 resolveIPAddress 功能,则必须在 com.iplanet.am.admin.cli.certdb.dir 目录中创建带有前缀值 com.iplanet.am.admin.cli.certdb.prefix 的 cert7.db 和 key3.db。然后重新启动 Access Manager。
com.iplanet.am.jssproxy.checkSubjectAltName
默认值为 false。当启用时,服务器证书包括“主题替换名”(SubjectAltName) 扩展名, 并且 Access Manager 会检查扩展名中的所有名称条目。如果 SubjectAltName 扩展名中的名称之一与服务器 FQDN 相同,则 Access Manager 将继续进行 SSL 信息交换。要启用此属性,请将其设置为用逗号分隔的可信赖 FQDN 列表。例如:com.iplanet.am.jssproxy.checkSubjectAltName= amserv1.example.com,amserv2.example.com
com.iplanet.am.jssproxy.resolveIPAddress
默认值为 false。
com.iplanet.am.jssproxy.trustAllServerCerts
默认值为 false。如果启用 (true),Access Manager 将忽略所有与证书相关的问题(如名称冲突)并继续进行 SSL 信息交换。为防止可能的安全性风险,请仅在测试时,或企业网被严密控制时启用此属性。如果可能会出现安全性风险(例如,如果服务器连接到不同网络的服务器),请避免启用此属性。
com.iplanet.am.jssproxy.SSLTrustHostList 如果设置了此属性,则 Access Manager 将检查正在被访问的服务器主机的“平台服务器” 列表。如果“平台服务器”列表中两台服务器的服务器 FQDN 匹配,Access Manager 将继续 SSL 握手。使用以下语法来设置属性:
com.iplanet.am.jssproxy.SSLTrustHostList = fqdn_am_server1 ,fqdn_am_server2, fqdn_am_server3
com.sun.identity.jss.donotInstallAtHighestPriority
默认值为 false。确定是否以最高优先级将 JSS 添加到 JCE。如果应使用其他 JCE 提供者进行数字签名和加密,则将该值设置为 true。