Root 認證機構(Root CA)
您必須設立一個 Root CA,以便為您的網站建立授權等級。Root CA 使用者會為自己建立授權等級,並用此授權等級建立為您網路中的網站伺服器建立鍵組與認可認證。這些授權認證可儲存在「聯合命名服務」內,以方便其他機器存取,或者也可以只儲存在 Root CA 機器上的檔案內,對這些資料的存取加以設限。內定為儲存在 /var/fn 內。
Root CA 主機(就是建立授權等級的機器)不需要與 Sun WebServer 同一台電腦,而為了安全考量起見,最好將 Root CA 放在另一台機器上,甚至使用一台未連在網路上的機器亦可。
註解 -
以上步驟僅針對自己發出認證的狀況。若只使用協力廠商發出的認證,則不需要考慮以上步驟。
Root CA 使用者
除了 Root CA 主機上的 root (UID 0)以外,任何使用者名稱均可變成 Root CA 使用者。Root CA 使用者是有權替網站建立授權等級的唯一使用者。Root CA 使用者本身亦有自己的授權等級(以密碼保護著),以便在所有他建立的認證上加以簽名。
Root CA 授權等級鏈結於區別名稱(DN)。所有授權等級都會鏈結於某個 DN。Root CA 的區別名稱用到以下屬性:
| 屬性類型 | 縮寫 | 範例 |
|---|---|---|
| 一般名稱 | cn | cn=rootca |
| 電子郵件地址 | em | em=rootca@A.net |
| 序號 | serial | serial=no12345 |
| 公司單位名稱 | ou | ou=web |
| 組織名稱 | o | o=A.net |
| 地點名稱 | l | l=internet |
| 州名或省名 | st | st=California |
| 國家名稱 | c | c=US |
以上屬性在 DN 內是有一定順序的。DN 一開頭必須是較特定的屬性,以後漸漸列出較一般化的屬性,最後則是最通用的屬性。以上表格中各屬性的順序也是從較特定的屬性(一般名稱)逐一列到最通用的屬性(國家)。
所有授權等級都儲存在 Root CA 使用者擁有的一個目錄內,此目錄不可設定成任何人均可讀取。Root CA 使用者的授權等級(以及每個網站的授權等級)可透過「聯合命名服務」 FNS 取得。
Root CA Host
使用 SSL 或鍵組的所有電腦都需安裝安全工具套裝軟體,其中至少要有一台機器當作 Root CA 主機。此主機需具備以下條件:
-
含有 Root CA 使用者名稱。
-
儲存著 Root CA 使用者的授權等級。
-
已經安裝 FNS。
Root CA 會為這台主機上的網站建立其授權等級並加以儲存。
Sun WebServer 不一定要在 Root CA 主機上執行。將網站的授權等級檔案從 Root CA 主機複製到執行 Sun WebServer 的機器上,便可讓 Sun WebServer 存取到網站的授權等級。
- © 2010, Oracle Corporation and/or its affiliates