test

Sun WebServer 安装指南,Solaris for Intranets 版

在 Web 站点上启用 SSL

在 Web 站点上启用 SSL 要求进行三个步骤:确保 SSL 软件包已安装,在运行 Sun WebServer 的机器上安装证明,以及在 Web 站点可以使用的端口上配置 SSL。

创建站点证明

在 Sun WebServer 机器上安装站点证明

  1. 存储站点的证明的目录需要复制到 Sun WebServer 机器上。

    如果 Root CA 机器和 Sun WebServer 机器是同一台机器,则跳过这一步。

    您可以将目录移到一张软盘或其它便携的媒体上,或通过 NFS 与 Sun WebServer 机器共享该目录。

    不管哪种情况,都应复制您为 setup_creds 的输出指定的目录及其所有子目录。该目录应包含:

    • certs/IP_Address.CERT

    • keypkgs/IP_Address.KEYPKG

    其中 IP_Address 是 Web 站点使用的地址。

  2. 作为 Sun WebServer 机器上的根,运行 /usr/http/bin/install_certs

    您将需要指定证明的路径、Web 站点的 IP 地址以及 Sun WebServer 进程的用户 ID (uid)。例如


    # /usr/http/bin/install_certs -p /floppy/cert_floppy -i \ 121.122.123.12 0

  3. 输入此 Web 站点的密钥包口令。

    这是 "创建证明" 中的步骤 步骤 8 指定的口令。


    /usr/bin/skilogin:输入主机密钥包口令

    证明现在存储在 Sun WebServer 机器上。按照下一个步骤对 Web 站点进行配置以使用 SSL。

配置 Web 站点以使用 SSL

您必须在使用 SSL 的 Web 站点的 IP 地址上创建端口。用于 SSL 连接的缺省端口是 443。

这些说明是假设您正在使用"Sun WebServer 管理控制台"。您还可以通过编辑 Web 站点的服务器实例的配置文件来配置端口(例如,/etc/http/sws_server.httpd.conf)。如果选择编辑配置文件,请参阅 httpd.conf(4) 的 man 页。

配置 Web 站点以使用 SSL:

  1. 连接"Sun WebServer 管理控制台"并登录。

    有关连接的信息,参见 第 2 章,配置管理服务器

  2. 在"服务器"列表中找到该 Web 站点所在的服务器实例。如果配置页未列出,单击"+"以展开文件夹。

  3. 如果不知道 Web 站点的 IP 地址,选择"Web 站点"页。

    Web 站点使用的 IP 地址显示在列表中。

    注意:

    IP 地址不可以被多个 Web 站点使用。SSL 被绑定到一个唯一的 IP 地址和主机名。

  4. 单击"IP/ 端口"页向 Web 站点的 IP 地址添加一个端口。

    "网络连接"列表将在右侧显示,列出此服务器实例使用的所有 IP 地址和端口。

  5. 单击"添加"以创建一个使用 Web 站点的 IP 地址和端口 443 的"网络连接"。

    "网络连接"对话框打开。

  6. 在"IP 地址"和"端口"域填上 Web 站点的 IP 地址和您想激活 SSL 的端口(通常为 443)。设置"超时"及是否"允许 HTTP 1.0"保留""。

    如果对"超时"和"允许 HTTP 1.0"保留""没有把握,单击对话框中的"帮助"。为获得良好的效果,设置"超时"为 300 秒,并允许 HTTP 1.0"保留"。

  7. 单击"启用 SSL"框。

  8. 如果您只想接受具有有效个人证书的客户的连接,单击"要求客户证书"框。

    有关此部分的详细信息,请单击该对话框中的"帮助"。

  9. 设置要启用的密码组。

    服务器将与客户协商以使用一个公用的密码组。如果客户和服务器公有的密码组不止一个,则将使用最强的那组。

    如果您有美国 / 加拿大加密软件,您可以选择 128 位、40 位或两者都选。除非您想明确地要求客户某一个,否则请选择两者。

    如果您有全球加密软件,您只可以使用 40 位的密码组。单击 40 位框。

  10. 单击"确定"以保存变更,然后选择"服务器->保存 IP/ 端口"。

  11. 如果您正在服务器实例的缺省站点上配置 SSL,则跳过剩余步骤。

    服务器上的缺省站点侦听为该服务器定义的所有连接端点,因此不需要向 Web 站点添加新的 SSL 连接。

  12. 从"服务器列表"选择"Web 站点"页,在列表中选择 Web 站点。选择"服务器->编辑 Web 站点"。

    在"编辑 Web 站点"对话框中,从"连接"列表中找到启用了 SSL 的网络连接并选择它。这些连接列为 IP_Address:Port 组合。

  13. 单击 > 以在"站点连接"列表中移动该连接。

    注意:

    对于缺省站点,此选项是禁止的,因为缺省站点自动侦听服务器的所有连接端点。如果您正在为服务器实例配置缺省站点,则跳过 12 至 15 步。

  14. 单击 保存 以确认 Web 站点的变更。

  15. 选择 服务器->保存 以保存变更。

    接着进行下一个配置步骤,"申请签署证书 "