SSL 需求概觀
本區段說明站台使用「安全 Socket 階層(SSL)」時所需的主要元件,讓讀者概略瞭解需要有哪些東西,以及這些元件是如何搭配運作的。"SSL 配置程序" 列出了 SSL 的一些配置程序。
網站要使用 SSL 之前,必須先擁有公用鍵(public key)、私人鍵(private key)與 X.509 認證,以便傳給客戶機。認證含有站台的識別(其區別名稱)、發出者的識別、網站的公用鍵以及發出者的數位簽名。網站通常可向 VeriSign 之類的一般認證機構(CA)申請取得其簽名的認證,若客戶機也有同一個 CA 的公用鍵,便可相信該網站的識別已經過確認並證實可靠。
註解 -
本文件中的「授權等級」指的是鍵組--公用加密鍵與私人加密鍵-以及相關的認證。
Sun WebServer 含有執行 CA 的軟體,能為網站建立 SSL 授權等級。其他工具則可安裝 Sun WebServer 需要用到的網站授權等級,取得協力廠商認可的認證,以及安裝協力廠商的認證。
-
建立 root 認證機構(Root CA)。
-
安裝聯合命名系統(FNS)。
-
安裝 Sun WebServer 加上 SSL。
-
使用 SSL 的網站必須用唯一的 IP 位址。
-
(建議實施)向一個獨立的 CA 申請許可的認證。
Root 認證機構(Root CA)
您必須設立一個 Root CA,以便為您的網站建立授權等級。Root CA 使用者會為自己建立授權等級,並用此授權等級建立為您網路中的網站伺服器建立鍵組與認可認證。這些授權認證可儲存在「聯合命名服務」內,以方便其他機器存取,或者也可以只儲存在 Root CA 機器上的檔案內,對這些資料的存取加以設限。內定為儲存在 /var/fn 內。
Root CA 主機(就是建立授權等級的機器)不需要與 Sun WebServer 同一台電腦,而為了安全考量起見,最好將 Root CA 放在另一台機器上,甚至使用一台未連在網路上的機器亦可。
註解 -
以上步驟僅針對自己發出認證的狀況。若只使用協力廠商發出的認證,則不需要考慮以上步驟。
Root CA 使用者
除了 Root CA 主機上的 root (UID 0)以外,任何使用者名稱均可變成 Root CA 使用者。Root CA 使用者是有權替網站建立授權等級的唯一使用者。Root CA 使用者本身亦有自己的授權等級(以密碼保護著),以便在所有他建立的認證上加以簽名。
Root CA 授權等級鏈結於區別名稱(DN)。所有授權等級都會鏈結於某個 DN。Root CA 的區別名稱用到以下屬性:
| 屬性類型 | 縮寫 | 範例 |
|---|---|---|
| 一般名稱 | cn | cn=rootca |
| 電子郵件地址 | em | em=rootca@A.net |
| 序號 | serial | serial=no12345 |
| 公司單位名稱 | ou | ou=web |
| 組織名稱 | o | o=A.net |
| 地點名稱 | l | l=internet |
| 州名或省名 | st | st=California |
| 國家名稱 | c | c=US |
以上屬性在 DN 內是有一定順序的。DN 一開頭必須是較特定的屬性,以後漸漸列出較一般化的屬性,最後則是最通用的屬性。以上表格中各屬性的順序也是從較特定的屬性(一般名稱)逐一列到最通用的屬性(國家)。
所有授權等級都儲存在 Root CA 使用者擁有的一個目錄內,此目錄不可設定成任何人均可讀取。Root CA 使用者的授權等級(以及每個網站的授權等級)可透過「聯合命名服務」 FNS 取得。
Root CA Host
使用 SSL 或鍵組的所有電腦都需安裝安全工具套裝軟體,其中至少要有一台機器當作 Root CA 主機。此主機需具備以下條件:
-
含有 Root CA 使用者名稱。
-
儲存著 Root CA 使用者的授權等級。
-
已經安裝 FNS。
Root CA 會為這台主機上的網站建立其授權等級並加以儲存。
Sun WebServer 不一定要在 Root CA 主機上執行。將網站的授權等級檔案從 Root CA 主機複製到執行 Sun WebServer 的機器上,便可讓 Sun WebServer 存取到網站的授權等級。
聯合式命名服務(FNS)
FNS 是 SSL 安全工具用來存取授權等級的介面。Sun WebServer 安全套裝軟體會建立一個名稱服務區,儲存及尋回檔案中的授權等級。
移除原有的 FNS 套裝軟體,換成 Sun WebServer 所附的 SUNWfns 套裝軟體。
安裝 Sun WebServer 之前便應該做好以上步驟。若未移除 SUNWfns 套件而且也還沒安裝 Sun WebServer 所附的套裝軟體,請立刻在要使用 SSL 的主機(包括 Root CA 主機)上進行。
註解 -
Solaris 2.6 所附的SUNWfns 套裝軟體無法與 SSL 搭配。移除此套裝軟體並不會導致任何資料遺失,且等到新的 SUNWfns 套裝軟體安裝好之後,原有的 FNS 區全部都不會有任何影響。雖然這兩個套裝軟體的版本都是 11.6.0,但新的套裝軟體用指令 pkginfo -l SUNWfns 列出的完整 VERSION 卻是 11.6.0,REV=1998.02.08.15.10。
具備 SSL 功能的 Sun WebServer
要讓網站擁有 SSL 功能,必須執行含有全套 SSL 以及程式庫的 Sun WebServer,而且要使用 SSL 的每個 IP 位址的通訊埠上都必須啟動 SSL。
Root CA 建立授權等級之後,必須將授權等級安裝到網站所在的 Sun WebServer 機器上。
網站唯一的 IP
Root CA 使用者利用網站的主機名稱與 IP 位址替網站建立其授權等級。由於授權等級必須鏈結於唯一的主機名稱與 IP 位址,因此每個使用 SSL 的站台都必須有一個 SSL 通訊埠的唯一 IP 位址。
認證簽名
當客戶機連上網站具有 SSL 功能的通訊埠時,會要求取得該網站的授權等級。為了驗證授權等級是否正確,因此授權等級必須帶有 CA 的簽名,而且此 CA 必須是客戶機信任且擁有其公用鍵的 CA。
由於大部份客戶機都不會擁有您區域 Root CA 的公用鍵,因此您最好向 VeriSign 之類的著名 CA 申請有其簽名的站台授權等級。
- © 2010, Oracle Corporation and/or its affiliates