Root CA 的配置

需要"根认证机构"(Root CA) 为您的网络上的 Web 站点创建密钥包和证书。如果您对 Root CA 用户和 Root CA 机器的作用不熟悉，请参阅 "SSL 要求概览"。

您需要配置 Root CA 机器，然后创建能够为 Web 站点创建证明的 Root CA。

配置 Root CA 机器

1. 确保机器上安装的用来生成证明的软件包是正确的：

   SUNWhttp

   含有用来运行 Root CA 的工具和正文。

   SUNWfns

   最新"联合命名服务"文件。

   SUNWski

   SKI 库。

   SUNWskica

   用来生成密钥包和证书的加密软件。

   SUNWskicw

   Root CA 的许可软件。

   SUNWskimc

   SKI 1.0 软件（CA Man 页软件包）

   SUNWskimu

   SKI 1.0 软件（CA 用户 Man 页软件包）

   SUNWssl

   SSL 1.0 软件（全球版本库）

   SUNWskild

   SKI 1.0 软件包（美国和加拿大库）

   SUNWssld

   SSL 1.0 软件（美国和加拿大库）

   如果您选择安装 SSL，那么这些软件包在安装 Sun WebServer 时都将被安装。

2. Sun WebServer 安装将会启动为生成安全密钥和证书所需要的进程。确保下列进程在运行：

   • /usr/lib/security/skiserv

   • /usr/lib/security/cryptorand

3. 选择或创建一个用户为 Root CA 用户。

   ---

   注意：

   本文档将称此用户为 rootca，但您可以从 /etc/passwd 选择任何 UNIX 用户名。

   ---

4. 创建一个由 rootca 所拥有的目录，用来存储证明。

   此目录对于别人应为不可读取的。例如：

   # mkdir /var/SSL_CERTS# chmod 700 /var/SSL_CERTS# chown rootca /var/SSL_CERTS

创建 Root CA

1. 为 root CA 确定判别名 (DN) 条目。

   有关详情，请参阅 "Root CA 用户"。DN 的一个示例是 cn=rootca, o=A.net, st=California, c=US。

2. 作为 Root CA 用户登录到 Root CA 机器。

3. 运行 create_rootca

   如果在 /usr/bin 中没有 create_rootca，则说明您没有在本机上安装 SUNWski 软件包。

4. 输入 Root CA 的 DN。

   输入判别名（例如："o=SUN, c=US"） 或 q[uit]: cn=rootca, o=A.net, st=California, c=US

5. 输入将存储证明的目录名。

   输入存储密钥包和证书的目录路径名，或 q[uit]。 目录名？/var/SSL_CERTS

   正文将会为 Root CA 生成公共和私有密钥。所有密钥包都由口令保护以防未经授权的使用。

6. 输入 Root CA 密钥包的口令。

   keypkg：输入您的"新"密钥包口令： keypkg：重新输入您的"新"密钥包口令：

7. 您可以选择使密钥包在命名服务中可用。若要将密钥包存储在命名服务中，您将需要机器的根口令。

   密钥包总是存储在文件中。使密钥包可在命名服务中使用将使其它安全工具不需要路径全名，即可定位密钥。

   Root CA 现在已经配置好。下一步是由 Root CA 为 Web 站点生成密钥包和证书。

   继续进行下一个配置步骤，"创建证明"。

8. 如果您不选择这个选项，则把证明保存在 FNS 中，然后手工存储证明：

   # skistore -d dirname

   其中 dirname 如第 5 步所指定。