透過 Administration Console 取得憑證

不論您使用 SSL 進行加密還是進行認證，您的 Messaging Server 都需要獲得伺服器憑證。該憑證可向用戶端和其他伺服器證實您的伺服器身份。如果您希望透過管理主控台獲得憑證，請執行本小節中的步驟。如果您要在指令行模式中建立自我簽名的憑證，請參閱建立自我簽署憑證

管理內部模組和外部模組

伺服器憑證可確立金鑰對用於加密和解密資料的數字的所有權和有效性。伺服器的憑證與鍵對代表該伺服器的身份。它們儲存在憑證資料庫中，該資料庫可以在伺服器內部，也可以在外部，即可抽取式硬體卡 (智慧卡) 上。

Sun Java System 伺服器使用符合公開金鑰加密系統 (PKCS) #11 API 的模組存取金鑰和憑證資料庫。給定硬體裝置的 PKCS #11 模組通常可從其供應商處獲得，並且必須安裝到 Messaging Server 中，然後 Messaging Server 才能使用該裝置。預先安裝的「Netscape 內部 PKCS # 11 模組」支援單一內部軟體記號，該記號使用伺服器的內部憑證資料庫。

為憑證設定伺服器包括為憑證及其金鑰建立資料庫以及安裝 PKCS #11 模組。如果您不使用外部硬體記號，可以在您的伺服器上建立內部資料庫，並使用內部預設模組 (該模組是 Messaging Server 的組成部分)。如果要使用外部記號，可以連線硬體智慧卡閱讀機並安裝其 PKCS #11 模組。

不論是內部還是外部 PKCS #11 模組，均可透過主控台進行管理。若要安裝 PKCS #11 模組，請：

1. 將硬體卡閱讀機連線至 Messaging Server 主機機器並安裝驅動程式。

2. 使用主控台中的 PKCS #11 管理介面為已安裝的驅動程式安裝 PKCS #11 模組。

(如需更完整的說明，請參閱「Managing Servers with iPlanet Console」中有關 SSL 的章節。)

安裝硬體加密加速器。如果您使用 SSL 進行加密，則可以透過安裝硬體加密加速器來提昇伺服器加密和解密郵件的效能。加密加速器通常由永久安裝在您伺服器機器上的硬體板以及軟體驅動程式構成。Messaging Server 支援遵循 PKCS #11 API 的加速器模組。(它們實質上是不儲存自身金鑰的硬體記號；它們使用內部資料庫儲存金鑰。)安裝加速器時，首先要按照製造商的指定安裝硬體和驅動程式，然後透過安裝 PKCS #11 模組完成安裝，過程與安裝硬體憑證記號類似。

請求伺服器憑證

您可以透過在主控台中開啟伺服器，然後執行憑證安裝精靈來請求伺服器憑證。可以從 [主控台] 功能表或 Messaging Server [加密] 標籤存取該精靈。使用精靈執行以下作業：

步驟

1. 產生憑證請求。

2. 透過電子郵件將請求傳送給發放憑證的憑證授權機構 (CA)。

   收到 CA 的電子郵件回應後，將其儲存為文字檔案並使用憑證安裝精靈進行安裝。

   (如需更完整的說明，請參閱「Managing Servers with iPlanet Console」中有關 SSL 的章節。)

安裝憑證

安裝與請求是不同的程序。收到 CA 對您憑證請求的電子郵件回應並將其儲存為文字檔案後，請再次執行憑證安裝精靈以將該檔案作為憑證進行安裝：

步驟

1. 指定您要安裝已獲得的憑證。

2. 當系統提示您將憑證文字貼入某欄位時，依此執行。

3. 將憑證暱稱從 server-cert 變更為 Server-Cert。

   如果您不想變更此憑證暱稱，則可以透過將 configutil 參數設定為 encryption.rsa.nssslpersonalityssl 來變更系統所需的憑證暱稱。

   (如需更完整的說明，請參閱「Managing Servers with iPlanet Console」中有關 SSL 的章節。)

   ---

   備註 –

   此程序也是安裝 CA 憑證 (如下文所述) 時應執行的程序，您的伺服器會使用 CA 憑證來確定是否信任用戶端提供的憑證。

   ---

安裝信任的 CA 之憑證

您還可以使用憑證安裝精靈來安裝憑證授權機構的憑證。CA 憑證可驗證 CA 本身的身份。您的伺服器會在認證用戶端和其他伺服器的程序中使用這些 CA 憑證。

例如，如果您將企業設定為除了進行基於密碼的認證之外還要進行基於憑證的用戶端認證 (請參閱第157 頁的「設定基於憑證的登入」)，則需要安裝所有發放用戶端可能提供之憑證的可信任 CA 的 CA 憑證。這些 CA 可以是您組織內部的，也可以是外部的，代表商業授權機構、政府授權機構或其他企業。(如需有關使用 CA 憑證進行認證的更多詳細資訊，請參閱「Managing Servers with iPlanet Console」中的「Introduction to Public-Key Cryptography」。)

Messaging Server 在安裝後，最初只包含數個商業 CA 的 CA 憑證。如果您需要增加其他商業 CA 或您的企業要開發自己的 CA 以供內部使用 (使用 Sun Java System Certificate Server)，則需要取得並安裝其他 CA 憑證。

Messaging Server 自動提供的 CA 憑證最初並未標記為信任其用戶端憑證。如果您要信任由這些 CA 發放的用戶端憑證，則需要編輯信任設定。如需說明，請參閱第 153 頁的「管理憑證和信任的 CA」。

若要請求並安裝新的 CA 憑證，請：

請求並安裝新的 CA 憑證

步驟

1. 聯絡憑證授權機構 (可以透過 Web 或電子郵件) 並下載其 CA 憑證。

2. 將收到的憑證文字儲存為文字檔案。

3. 如上一節所述，使用憑證安裝精靈安裝憑證。

   如需更完整的說明，請參閱「Managing Servers with iPlanet Console」中有關 SSL 的章節。

管理憑證和信任的 CA

您的伺服器可以具有任意數量的信任 CA 憑證以用於認證用戶端。

透過在主控台中開啟您的伺服器，然後在 [主控台] 功能表中選擇 [憑證管理指令]，您可以檢視 Messaging Server 中已安裝的憑證、編輯其信任設定，或刪除任何憑證。如需說明，請參閱「Managing Servers with iPlanet Console」中有關 SSL 的章節。

建立密碼檔案

在任一 Sun Java System 伺服器上，當您使用憑證安裝精靈請求憑證時，該精靈會建立一個鍵對，該鍵對將儲存在內部模組的資料庫或外部資料庫 (智慧卡) 中。然後，精靈會提示您輸入密碼，它會使用該密碼來加密私密金鑰。以後只有使用同一密碼才能解密該金鑰。精靈不會保留密碼，也不會將其儲存在任何位置。

在已啟用 SSL 的大多數 Sun Java System 伺服器上，啟動時系統會提示管理員提供解密鍵對所需密碼。但在 Messaging Server 上，為緩解必須多次輸入密碼 (至少有三個伺服器程序需要輸入密碼) 所造成的不便，同時為便於伺服器自動重新啟動，系統會從密碼檔案中讀取密碼。

密碼檔案名為 sslpassword.conf 且位於目錄 msg_svr_base/config/ 中。檔案中的項目都各成一行，格式為

moduleName:password

其中 moduleName 是要使用的 (內部或外部) PKCS #11 模組的名稱，password 是解密該模組之鍵對的密碼。密碼以明文 (未加密) 形式儲存。

Messaging Server 提供預設版本的密碼檔案，其中包含以下單一項目 (用於內部模組和預設密碼)：

Internal (Software) Token:netscape!

在安裝內部憑證時，如果指定了預設密碼以外的其他密碼，則需要編輯密碼檔案中的以上一行以反映您所指定的密碼。如果要安裝外部模組，則需要在該檔案中新增一行，其中要包含模組名稱以及您為其指定的密碼。

由於在伺服器啟動時，系統不會提示管理員輸入模組密碼，因此請務必確保對伺服器的正確的管理員存取控制和伺服器主機機器及其備份的適當的實體安全性，這一點極為重要。