根认证机构 (Root CA)
您需要在自己的站点创建一个 Root CA 以便为 Web 站点创建证明。Root CA 用户将为自己创建证明,然后用这些证明为您的网络中的 Web 服务器创建密钥包和签署证书。您可以将证明存储在"联合命名服务" (FNS) 中以便于从别的机器上访问,或者只将它们存储在 Root CA 机器上的文件中以限制访问。在缺省状态下,它们存储在 /var/fn 中。
Root CA 主机(证明在此创建)不必和 Sun WebServer 是同一台机器。出于安全的原因,您可能想在不同的机器上或者干脆在不能上网的机器上运行 Root CA。
注意:
只有自己签署的证书才需要完成上述步骤。如果只使用第三方证书则不需要。
Root CA 用户
您可以在 Root CA 主机上使用 root (UID 0) 以外的任何用户名做 Root CA 用户。Root CA 用户是唯一能够为 Web 站点创建证明的用户。Root CA 用户将拥有自己的、受口令保护的证明,用来签署它创建的所有证书。
Root CA 证明被绑定到判别名 (DN) 条目。所有证明都被绑定到某个 DN。Root CA 判别名使用下列属性:
| 属性类型 | 缩写 | 示例 |
|---|---|---|
| 公用名 | cn | cn=rootca |
| 电子邮件地址 | em | em=rootca@A.net |
| 序号 | serial | serial=no12345 |
| 组织单位名 | ou | ou=web |
| 机构名 | o | o=A.net |
| 地区名 | l | l=internet |
| 州或省名 | st | st=California |
| 国名 | c | c=US |
在 DN 中属性的顺序是很重要的。DN 必须以最具体的属性开始,依次排列到最不具体的属性。这些属性以最具体(公用名)到最不具体(国家)的顺序在表中排列。
所有证明都存储在 Root CA 用户所拥有的一个目录中,该目录不应是公开可读的。Root CA 用户的证明(以及每个 Web 站点的证明)将可通过"联合命名服务"(FNS) 得到。
Root CA 主机
所有使用 SSL 或密钥包的计算机都将需要安装安全工具包。必须至少有一台机器,即 Root CA 主机,上面
-
存在 Root CA 的用户名。
-
存储了 Root CA 的证明。
-
正确安装了 FNS。
Root CA 将为此主机上的 Web 站点创建和存储证明。
在 Root CA 主机上不必运行 Sun WebServer。Sun WebServer 机器可以通过从 Root CA 主机复制文件,来获得对其上的 Web 站点的证明的访问权。
- © 2010, Oracle Corporation and/or its affiliates