|
| |
| Sun Java System Access Manager 6 2005Q1 ����ָ�� | |
�� 2 ��
�� SSL ģʽ������ Access Manager����ȫ���ֲ� (SSL) �ͼ���֤���ʹ�ÿ��Ա�֤��ݵı����Ժ������ԡ�Ҫ�� SSL ģʽ������ Access Manager��ͨ����Ҫִ�����²���
���¸�ֽ�������Щ���裺
ʹ�ð�ȫ Sun Java System Web Server ���� Access Manager�� SSL ģʽ������ Access Manager(ʹ�� Sun Java System Web Server)���μ����²��裺
���� 2 ������ 25 �� Sun Java System Web Server ������˵��
- ��¼�� Web Server ����̨��Ĭ�϶˿�Ϊ 58888��
- ѡ������ Access Manager �� Web Server ʵ�����?��
����ʾһ���ڣ�˵�������Ѹ�ġ�����ȷ������
- ������Ļ���Ͻǵġ�Ӧ�á���ť��
- ����Ӧ�����á���
Web Server Ӧ�����Զ������������ȷ��������
- ֹͣѡ���� Web Server ʵ��
- �����ȫ�ԡ�ѡ���
- ���������ݿ⡱��
- ��������ݿ����벢����ȷ������
����ؽ���ݿ��������4���Ա���4ʹ�á�
- ����֤����ݿ��������֤�顱��
- ����Ļ�ϵ��ֶ���������ݡ�
�ڡ���Կ���ֶ����롱�ֶ��������������� 9 ����������롣�ڡ�λ�á��ֶ�������λ�õ�����ƴд������������д������ CA�������붨�������ֶΡ��ڡ�������ơ��ֶ��У�������� Web Server �������
- �ύ�?������������Ϣ��
--BEGIN CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE REQUEST--
- ���Ʋ�Ϊ֤�������ύ���ı���
ȷ�����ȡ���Ǹ� CA ֤�顣
- ���յ�һ���֤���֤����Ӧ�����磺
--BEGIN CERTIFICATE---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdflasdf
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END CERTIFICATE---
- ����Щ�ı����Ƶ������浽�ļ��С�
- ת�� Web Server ����̨�������װ֤�顱��
- ����÷�����ġ�֤�顱��
- �ڡ���Կ���ļ����롱�ֶ��У�����֤����ݿ����롣
- ��֤��ճ���ṩ���ı��ֶ��л�ѡ�е�ѡ��ť�������ı����������ļ������ύ����
�������ʾ֤�飬���ṩ�������֤��İ�ť��
- �����װ֤�顱��
- �������ε�֤����Ȩ���֤�顱��
- ��װ����}��֤����� Web Server ����̨�еġ���ѡ�ѡ���
- ���Ҫ������˿������� SSL����ѡ������������֡���Ȼ��ѡ�༭�������֡���
- ����ȫ״̬�ӡ��ѽ��á���Ϊ�������á���������ȷ�������ύ����ĸ�ġ�
���� 26 ������ 28 ���� Access Manager��
- �� AMConfig.properties �ļ���Ĭ������£����ļ�λ�� etc/opt/SUNWam/config �С�
- �����ֵ����� http:// Э���滻Ϊ https:// Э�飨���� Web Server ʵ��Ŀ¼������Ҫ���ļ� AMConfig.properties �н���ָ�������DZ��뱣����ͬ��
- ���� AMConfig.properties �ļ���
- �� Web Server ����̨�У����� Web Server ʵ������� Access Manager �ġ���/�ء���ť��
Web Server ���ڡ���/ֹͣ��ҳ������ʾһ���ı���
- ���ı��ֶ�����֤����ݿ����벢ѡ�������
ʹ�ð�ȫ Sun Java System Application Server ���� Access Manager����ͨ������}�������� Access Manager��ʹ���������� SSL �� Sun Java System Application Server �����С����ȣ�ʹ Application Server ʵ������Ѱ�װ�� Access Manager 4˵�ǰ�ȫ�ģ�Ȼ������ Access Manager ���?
ʹ�� SSL ���� Application Server 6.2
Ҫ��֤ Application Server ʵ��İ�ȫ�ԣ�
- ����������������µ�ַ���Թ���Ա��ݵ�¼�� Sun Java System Application Server ����̨��
http://fullservername:port
Ĭ�϶˿�Ϊ 4848��
- �����ڰ�װ�����������û�������롣
- ѡ�����ڣ����ڣ����ϰ�װ Access Manager �� Application Server ʵ���Ҳ������ʾ�����Ѹ�ġ�
- ����Ӧ�ø�ġ���
- �������������Application Server ���Զ��������
- �������У������ȫ����
- ���������ݿ⡱ѡ���
- ���δѡ����ݿ⣬�������ݿ⡱��
- ��������ݿ����벢����ȷ�ϣ�Ȼ��ȷ������ť����ȷ��������ݿ����룬�Ա���4ʹ�á�
- ����֤����ݿ����֤����?ѡ���
- ���δѡ��֤�飬������t�ӡ�
- Ϊ֤�����������������
- ����֤��Ϊ��֤���֤����£���ѡ���֤�顣���֤���ھ����ض���һ��ʱ��֮�����ڣ�һЩ֤����Ȩ�� (CA) ���Զ���������֪ͨ��
- ָ����Ҫ�ύ֤������ķ�ʽ��
��� CA Ҫ����յ����ʼ���ʽ��������鿴 CA �����ʼ���Ȼ������ CA �ĵ����ʼ���ַ��Ҫ�鿴 CA ���б?�뵥����õ�֤����Ȩ���б?��
�������ʹ�� Sun Java System Certificate Server ���ڲ� CA ����֤�飬�뵥�� ��CA URL����Ȼ������ Certificate Server �� URL���� URL Ӧ��ָ�� Certificate Server �Ĵ���֤������ij���
- ������Կ���ļ������루���������� 9 ��ָ�������룩��
- �������±�ʶ��Ϣ��
����������������ȫ���(�˿ںš�
�����������������ߵ�����
�绰�����������ߵĵ绰���롣
�����������Ҫ�����ϰ�װ����֤��� Sun Java System Application Server ��ȫ����ơ�
�����ʼ���ַ������Ա�ĵ����ʼ���ַ��
��֯����������֯����ơ�֤����Ȩ�����Ҫ���������������������������ij����ע�ᵽ����֯����
��֯��λ�������֯�IJ��Ż���������λ����ơ�
λ����ƣ����У������л�������ơ�
��������������֯λ���9����ô���ֱ�ָ��֯���ڵ��ݻ�ʡ����ơ��벻Ҫʹ����д��
���/��������������ڹ��/�����}����ĸ�� ISO ���롣���磬�9�Ĵ����� US��
- ����ȷ������ť��ϵͳ����ʾһ����Ϣ�����磺
--BEGIN NEW CERTIFICATE REQUEST---
afajsdllwqeroisdaoi234rlkqwelkasjlasnvdknbslajowijalsdkjfalsdfla
alsfjawoeirjoi2ejowdnlkswnvnwofijwoeijfwiepwerfoiqeroijeprwpfrwl
--END NEW CERTIFICATE REQUEST--
- �����ı����������ݸ��Ƶ�һ���ļ���Ȼ��ȷ������ȷ�����ȡ���Ǹ� CA ֤�顣
- ѡ��һ�� CA��Ȼ���ոû�� Web վ���ϵ�˵���ȡ����֤�顣����Դ� CMS��Verisign �� Entrust.net ��ȡ֤�顣
- �յ�4��֤����Ȩ�������֤�������Խ��ı����Ƶ������浽�ļ��С�
- ת�� Sun Java System Application Server ����̨��Ȼ���װ��t�ӡ�
- Ϊ�÷�����ѡ��֤�顣
- �ڡ���Կ���ļ����롱�ֶ��У�����֤����ݿ����롣������������������ 9 �������������ͬ����
- ��֤��ճ�����ṩ�ġ���Ϣ�ı�������⣩���ı��ֶ��У����ڸ��ļ��ı����еġ���Ϣ���ֶ��������ļ���ѡ����Ӧ�ĵ�ѡ��ť��
- ����ȷ������ť���������ʾ֤�飬���ṩ�������֤��İ�ť��
- ������ӷ�����֤�顱��
- ֤�鰲װ����ɺ���չ������еġ�HTTP ������ڵ㡣
- ѡ��HTTP �������µġ�HTTP �������
- ѡ�� ��http-listener-1�����������ʾ������Ϣ��
- �� http-listener-1 ʹ�õĶ˿�ֵ�Ӱ�װ Application Server ʱ�����ֵ���Ϊһ�����ʵ�ֵ���� 443��
- ѡ������ SSL/TLS����
- ѡ��֤���dzơ���
- ָ�����ط���������Ӧ���������� 12 ��ָ���Ĺ������ƥ�䡣
- ������桱��
- ѡ��Ҫ�����ϰ�װ Sun Java System Access Manager ����� Application Server ʵ���Ҳ������ʾ�����Ѹ�ġ�
- ����Ӧ�ø�ġ���
- �������������Application Server ���Զ��������
ʹ�� SSL ���� Application Server 8.1
Ҫ��֤ Application Server ʵ��İ�ȫ�ԣ�
- ȷ�� Application Server ʵ����ֹͣ��
- ʹ�� asadmin>change-master-password �������������롣
- ת�� Application Server ����̨��ѡ�����á�>��HTTP ����>��HTTP �������
- ����Ҫ���õ�����������Ҵ�����ѡ��ȫ�������á���
- ����Ƿ�װ certutil��
- ʹ�� certutil ��� certdb �а�װ��֤�飺
- ���֤��������ɵ��Ϊ��
certutil -R -s subj -o cert-request-file [-d certdir] [-P dbprefix] [-p phone] [-a]
���磺
certutil -R -s "CN=test.company1.com, O=company1.com, C=US" -o cert.req -d . -a
- ʹ����������� CA ����֤�飺
certutil -A -n cert-name -t trustargs [-d certdir] [-P dbprefix] [-a] [-i input]
- ��������֤�鱣�����ļ��С�
- ʹ�������������װ���� CA ֤�飺
certutil -A -n cert-name -t trustargs [-d certdir] [-P dbprefix] [-a] [-i input]
�����ε� CA ֤�鱣�浽�ļ��У����� cacert.txt��
- �г� certdb ��ȷ����װ�ɹ��������������
/var/opt/SUNWappserver/domains/domain1/config/% certutil -L -d
- ת�� Application Server �������̨��ѡ��HTTP �������
�ڡ��������á��£����µķ�����֤�����á�HTTP �������
- ������ Application Server��
�� SSL ģʽ������ Access Manager
Ҫ�� SSL ģʽ������ Access Manager����ִ�����²��裺
- �� Access Manager ����̨�У�ת�����������á�ģ�鲢ѡ��ƽ̨�������ڡ��������б?�����У���� HTTPS Э���ʽ����ͬ URL ������ SSL �Ķ˿ںš�������桱��
ע
�����һ�� Access Manager ʵ����������}��˿ڣ�����һ��Ϊ Http ģʽ����һ��Ϊ Https ģʽ����������ͼ���ó��ӵ� Cookie ���� Access Manager ʱ��Access Manager ��תΪ����Ӧ״̬����֧�ִ����á�
- ������Ĭ��λ�ô� AMConfig.properties �ļ���
/etc/opt/SUNWam/config��
- �����ֵ����� http:// Э���滻Ϊ https:// Э�飬�����˿ںŸ��Ϊ���� SSL �Ķ˿ںš�
- ���� AMConfig.properties �ļ���
- ������ Application Server��
ʹ�ð�ȫ BEA WebLogic Server ���� AMSDK�����Ȱ�װ BEA WebLogic Server ����������Ϊ Web ����Ȼ���� SSL ģʽ���� AMSDK �������йذ�װ˵����μ� BEA WebLogic �������ĵ���Ҫ�� WebLogic ����Ϊ Access Manager �� Web ������μ��� 1 �¡�Access Manager 2005Q1 ���ýű�����
Ҫ���ð�ȫ�� WebLogic ʵ����ִ�����²��裺
- ʹ�ÿ�����˵�������
- ת�� WebLogic ��װĿ¼�����֤������
- ʹ�� vetri_csr.txt CSR �� CA ���������֤��
- ������֤�鱣�浽�ı��ļ��С����� approvedcert.txt��
- ʹ������������ cacerts ��װ��� CA��
cd jdk141_03/jre/lib/security/
jdk141_03/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "Greenday CA" -storepass changeit -file /opt/bea81/cacert.txt
- ʹ����������װ�������֤�飺
jdk141_03/jre/bin/keytool -import -keystore keystore -keyalg RSA -import -trustcacerts -file approvedcert.txt -alias "mykey"
- ʹ������û���������¼ WebLogic ����̨��
- ��5�����λ�ã�
yourdomain> Servers> myserver> Configure Keystores
- ѡ���Զ�����ݡ���Ȼ��ѡ��Java �����Ρ�
- ������Կ��λ�á����� /opt/bea81/keystore��
- ������Կ���������Կ��ͨ�ж�����磺
��Կ�����룺JKS/Java Standard Trust������ WL 8.1 ��Ϊ JKS��
��Կ��ͨ�ж��changeit
- �˲�����ʲô��˼���鿴 SSL ר����Կ����ר����Կ����mykey �����룺secret12
- �� Access Manager �У���װʱ���Զ����� AmConfig.properties �е����²������δ���ã����Խ����ʵ��ı༭��
com.sun.identity.jss.donotInstallAtHighestPriority=true������ AM 6.3 �����ϰ汾�ⲻ�DZ���ģ�
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactoryImpl=netscape.ldap.factory.JSSESocketFactory
com.iplanet.security.encryptor=com.iplanet.services.util.JCEEncryption2 ��� JDK ·�����£�
com.iplanet.am.jdk.path=/usr/jdk/entsys-j2se
��ʹ�� keytool ʵ�ó�����֤����ݿ��еĸ� CA�����磺
/usr/jdk/entsys-j2se/jre/lib/security
/usr/jdk/entsys-j2se/jre/bin/keytool -keystore cacerts -keyalg RSA -import -trustcacerts -alias "machinename" -storepass changeit -file
/opt/bea81/cacert.txt
keytool ʵ�ó���λ������Ŀ¼��
/usr/jdk/entsys-j2se/jre/bin/keytool
- �� Access Manager amadmin ������ʵ�ó���ɾ�� -D"java.protocol.handler.pkgs=com.iplanet.services.comm"��
- �� SSL ģʽ������ Access Manager���й���ϸ��Ϣ���μ��� SSL ģʽ������ Access Manager��
ʹ�ð�ȫ IBM WebSphere Application Server ���� AMSDK�����Ȱ�װ IBM WebShpere Server ����������Ϊ Web ����Ȼ���� SSL ģʽ���� AMSDK �������йذ�װ˵����μ� WebSphere �������ĵ���Ҫ�� WebLogic ����Ϊ Access Manager �� Web ������μ��� 1 �¡�Access Manager 2005Q1 ���ýű�����
Ҫ���ð�ȫ�� WebSphere ʵ����ִ�����²��裺
- �� Websphere /bin Ŀ¼�е� ikeyman.sh��
- �� Signer��ǩ���ߣ��˵�������֤����Ȩ�� (CA) ��֤�顣
- �� Personal Certs������֤�飩�˵������ CSR��
- ������һ������֤�顣
- ѡ����֤�顱�����������֤�顣
- �� WebSphere ����̨�����Ĭ�ϵ� SSL ���ò�ѡ�����롣
- ����Ĭ�ϵ� IBMJSSE SSL �ṩ�ߡ�
- ��������������� CA ֤��Ӹմ������ļ����뵽Ӧ�÷����� JVM ��Կ�⣺
$ appserver_root-dir/java/bin/ keytool -import -trustcacerts -alias cmscacert -keystore ../jre/lib/security/cacerts -file /full_path_cacert_filename.txt
app-server-root-dir ��Ӧ�÷�����ĸ�Ŀ¼��full_path_cacert_filename.txt �Ǻ���֤����ļ�������·����
- �� Access Manager �У����� AmConfig.properties �е����²�����ʹ�� JSSE��
com.sun.identity.jss.donotInstallAtHighestPriority=true
com.iplanet.security.SecureRandomFactoryImpl=com.iplanet.am.util.SecureRandomFactoryImpl
com.iplanet.security.SSLSocketFactorImpl=netscape.ldap.factory.JSSESocketFactory
com.iplanet.security.encyptor=com.iplanet.services.unil.JCEEncryption
- �� SSL ģʽ������ Access Manager���й���ϸ��Ϣ���μ��� SSL ģʽ������ Access Manager��
�� SSL ģʽ������ Access Manager �� Directory ServerΪȷ��ͨ�������ṩ��ȫͨ�ţ�Access Manager �а�( LDAPS ͨ��Э�顣LDAPS �DZ��� LDAP Э�飬�����ڡ���ȫ���ֲ㡱(SSL) �����С�Ϊ������ SSL ͨ�ţ����������� SSL ģʽ������ Directory Server��Ȼ�� Access Manager l�ӵ� Directory Server���������£�
�� SSL ģʽ������ Directory Server
Ϊ�� SSL ģʽ������ Directory Server�������ò���װ������֤�顢�� Directory Server ����Ϊ���� CA ��֤�鲢������ SSL���й���������Щ�������ϸ˵��μ� Directory Server ����ָ���ĵ� 11 �¡�������֤�ͼ��ܡ�����������λ���ҵ����ĵ���
���ɴ�����λ�����ش��ֲ�� PDF��
http://docs.sun.com/coll/DirectoryServer_04q2 �� http://docs.sun.com/coll/DirectoryServer_04q2_zh
��� Directory Server �Ѿ����� SSL����ת����һ���֣��Բ鿴�йؽ� Access Manager l�ӵ� Directory Server ����ϸ˵��
�� Access Manager l�ӵ����� SSL �� Directory Server
�� SSL ģʽ�������� Directory Server �Ժ���Ҫ�� Access Manager ��ȫ��l�ӵ� Directory Server ��ˡ�Ϊ�ˣ���ִ�����²��裺