Root CA 配置
Root 認證機構(CA)必須替您網路上的網站建立鍵組與認證。若您不瞭解 Root CA 使用者以及 Root CA 機器這些觀念,請參閱 "SSL 需求概觀 "。
請先配置 Root CA 機器,然後建立 Root CA 使用者,以便替網站建立授權等級。
配置 Root CA 機器
-
- SUNWhttp
-
含有執行 Root CA 所需的工具與指令集。
- SUNWfns
-
最新的聯合命名服務檔案。
- SUNWski
-
SKI 程式庫。
- SUNWskica
-
產生鍵組與認證的加密軟體。
- SUNWskicw
-
Root CA 的授權軟體。
-
SUNWskimc -
SKI 1.0 軟體(CA 手冊頁套裝軟體)
-
SUNWskimu -
SKI 1.0 軟體(CA 手冊頁套裝軟體)
-
SUNWssl -
SSL 1.0 軟體(全球版程式庫)
-
SUNWskild -
SKI 1.0 套裝軟體(美國與加拿大版程式庫)
-
SUNWssld -
SSL 1.0 軟體(美國與加拿大版程式庫)
安裝 Sun WebServer 時,若選擇要安裝 SSL,則以上套裝軟體均會與 Sun WebServer 一併安裝到電腦上。
-
Sun WebServer 的安裝處理會啟動產生安全鍵組與認證所需的行程。請檢查以下處理是否正在執行:
-
/usr/lib/security/skiserv
-
/usr/lib/security/cryptorand
-
-
選擇或建立要當作 Root CA 使用者的使用者。
註解 -本文件一律將此使用者稱為
rootca,但您可選擇 /etc/passwd 中的任何 UNIX 使用者名稱。
-
建立 rootca 的目錄,以儲存授權等級。
此目錄應設定成其他人無權讀取,例如:
# mkdir /var/SSL_CERTS# chmod 700 /var/SSL_CERTS# chown rootca /var/SSL_CERTS
建立 Root CA
-
決定 Root CA 的區別名稱 (DN)。
詳細說明請參閱 "Root CA 使用者"。
cn=rootca, o=A.net, st=California, c=US便是一個 DN 的例子。 -
以 Root CA 使用者身份登入 Root CA 機器。
-
執行 create_rootca
如果 /usr/bin 中沒有 create_rootca 這個指令,表示這台機器並未安裝
SUNWski套裝軟體。 -
輸入 Root CA 的特定名稱(DN)。
輸入「區別名稱」(如 "o=SUN, c=US") 或按 q 跳出: cn=rootca, o=A.net, st=California, c=US
-
輸入儲存授權等級的目錄名稱。
輸入儲存鍵組與認證 的目錄路徑名稱,或按 q 跳出。 目錄名稱? /var/SSL_CERTS
此指令集會產生 Root CA 用的公用加密鍵與私人加密鍵。所有件組均以密碼保護,以防止未經授權的使用。
-
輸入 Root CA 鍵組密碼。
keypkg: 輸入新的鍵組密碼: keypkg: 再輸入一次新的鍵組密碼:
-
鍵組可以儲存在名稱服務內供其他機器取用,但必須先知道 root 的密碼才行。
鍵組都是儲存在檔案內。若將鍵組放在名稱服務內,則其他安全工具不需要鍵組檔案的完整路徑名稱,只要透過名稱服務便可取得這些鍵。
Root CA 現在已經配置好了,下個步驟則是產生出網站的鍵組與認證。
請繼續進行以下配置程序,"建立授權等級"。
-
如果您沒有選擇這個選項,請將授權等級存入 FNS,然後手動式儲存授權等級:
# skistore -d 目錄名稱
其中 目錄名稱 即為第五章中設定的目錄。
- © 2010, Oracle Corporation and/or its affiliates