Sun logo      上一页      目录      索引      下一页     

Sun ONE Portal Server, Secure Remote Access 6.2 管理员指南

第 7 章
证书

本章介绍证书管理并说明如何安装自签名证书和来自“证书授权机构”的证书。

本章包括以下主题:

SSL 证书概述

Sun™ ONE Portal Server, Secure Remote Access 软件为远程用户提供基于证书的验证。Secure Remote Access 使用“加密套接字层”(SSL) 启用安全通信。SSL 协议可在两台机器之间实现安全通信。

SSL 证书使用公共和私有密钥对提供加密和解密功能。

有两种类型的证书:

默认情况下,当安装“网关”时,将会生成并安装自签名证书。

在安装后,您可随时生成、获取或替换证书。

Secure Remote Access 也支持以“个人数字证书”(PDC) 进行客户机验证。PDC 是一个通过 SSL 客户机验证来验证用户的机制。进行 SSL 客户机验证时,SSL 信号交换将在“网关”结束。“网关”抽取用户的 PDC 并将其传递给已验证的服务器。该服务器使用 PDC 验证用户。要同时配置 PDC 与“验证链”,请参阅“使用验证链”

Secure Remote Access 提供名为 certadmin 的工具,可使用它来管理 SSL 证书。请参阅“certadmin 脚本”

证书文件

证书相关文件位于 /etc/opt/SUNWps/cert/default/gateway-profile-name。默认情况下,此目录包含 5 个文件。

表 7-1 列出这些文件及其说明。第一列列出证书文件名,第二列指定文件类型,第三列是对文件的说明。

表 7-1 证书文件

文件名

类型

描述

cert8.db, key3.db, secmod.db

二进制

包含证书、密钥和加密模块的数据。

可使用 certadmin 脚本处理。

和 Sun™ ONE Web Server 所使用的数据库文件具有相同的格式,并且位于 portal-server-install-root/SUNWwbsvr/alias

如有必要,可在 Portal Server 主机和网关组件或“网关代理”之间共享这些文件。

.jsspass

隐藏文本文件

包含 SRA 密钥数据库的加密口令。

.nickname

隐藏文本文件

存储“网关”需要在 token-name:certificate-name 格式中使用的令牌和证书名。

如果您使用的是默认令牌(默认内部软件加密模块上的令牌),则省略令牌名。多数情况下,.nickname 文件仅存储证书名。

作为管理员,您可在此文件中修改证书名。您指定的证书此时将由“网关”使用。

证书委托属性

证书的委托属性表明:

对于每一证书均有三种可用的委托类别,按如下顺序表示:“SSL、电子邮件、对象登记”。对于“网关”组件,仅第一类别有用。在每一类别位置中,将使用多个或不使用任何委托属性代码。

类别的属性代码以逗号分隔,并且整个属性组由引号括在其中。例如,在“网关”安装期间生成并安装的自签名证书被标记为“u,u,u”,它表示该证书是与根 CA 证书相对的服务器证书(用户证书)。

表 7-2 列出可能的属性值及每个值的含义。第一列列出属性,第二列对属性进行描述。

表 7-2 证书委托属性 

属性

描述

p

有效同级

P

委托同级(暗示 p)

c

有效 CA

T

签发客户机证书的委托 CA(暗示 c)

C

签发服务器证书的委托 CA(仅限 SSL)(暗示 c)

u

证书可用于验证或登记

w

发送警告(当证书在该环境中使用时,与其它属性一起使用以包括警告)

CA 委托属性

证书数据库中包括大多数众所周知的公共 CA。有关修改公共 CA 之委托属性的信息,请参阅“修改证书的委托属性”

表 7-3 列出带有委托属性的最常见“证书授权机构”。第一列列出“证书授权机构”,第二列列出该 CA 的委托属性。

表 7-3 公共证书授权机构

证书授权机构名

委托属性

Verisign/RSA Secure Server CA

CPp,CPp,CPp

VeriSign Class 4 Primary CA

CPp,CPp,CPp

GTE CyberTrust Root CA

CPp,CPp,CPp

GTE CyberTrust Global Root

CPp,CPp,CPp

GTE CyberTrust Root 5

CPp,CPp,CPp

GTE CyberTrust Japan Root CA

CPp,CPp,CPp

GTE CyberTrust Japan Secure Server CA

CPp,CPp,CPp

Thawte Personal Basic CA

CPp,CPp,CPp

Thawte Personal Premium CA

CPp,CPp,CPp

Thawte Personal Freemail CA

CPp,CPp,CPp

Thawte Server CA

CPp,CPp,CPp

Thawte Premium Server CA

CPp,CPp,CPp

American Express CA

CPp,CPp,CPp

American Express Global CA

CPp,CPp,CPp

Equifax Premium CA

CPp,CPp,CPp

Equifax Secure CA

CPp,CPp,CPp

BelSign Object Publishing CA

CPp,CPp,CPp

BelSign Secure Server CA

CPp,CPp,CPp

TC TrustCenter, Germany, Class 0 CA

CPp,CPp,CPp

TC TrustCenter, Germany, Class 1 CA

CPp,CPp,CPp

TC TrustCenter, Germany, Class 2 CA

CPp,CPp,CPp

TC TrustCenter, Germany, Class 3 CA

CPp,CPp,CPp

TC TrustCenter, Germany, Class 4 CA

CPp,CPp,CPp

ABAecom (sub., Am. Bankers Assn.) Root CA

CPp,CPp,CPp

Digital Signature Trust Co. Global CA 1

CPp,CPp,CPp

Digital Signature Trust Co. Global CA 3

CPp,CPp,CPp

Digital Signature Trust Co. Global CA 2

CPp,CPp,CPp

Digital Signature Trust Co. Global CA 4

CPp,CPp,CPp

Deutsche Telekom AG Root CA

CPp,CPp,CPp

Verisign Class 1 Public Primary Certification Authority

CPp,CPp,CPp

Verisign Class 2 Public Primary Certification Authority

CPp,CPp,CPp

Verisign Class 3 Public Primary Certification Authority

CPp,CPp,CPp

Verisign Class 1 Public Primary Certification Authority - G2

CPp,CPp,CPp

Verisign Class 2 Public Primary Certification Authority - G2

CPp,CPp,CPp

Verisign Class 3 Public Primary Certification Authority - G2

CPp,CPp,CPp

Verisign Class 4 Public Primary Certification Authority - G2

CPp,CPp,CPp

GlobalSign Root CA

CPp,CPp,CPp

GlobalSign Partners CA

CPp,CPp,CPp

GlobalSign Primary Class 1 CA

CPp,CPp,CPp

GlobalSign Primary Class 2 CA

CPp,CPp,CPp

GlobalSign Primary Class 3 CA

CPp,CPp,CPp

ValiCert Class 1 VA

CPp,CPp,CPp

ValiCert Class 2 VA

CPp,CPp,CPp

ValiCert Class 3 VA

CPp,CPp,CPp

Thawte Universal CA Root

CPp,CPp,CPp

Verisign Class 1 Public Primary Certification Authority - G3

CPp,CPp,CPp

Verisign Class 2 Public Primary Certification Authority - G3

CPp,CPp,CPp

Verisign Class 3 Public Primary Certification Authority - G3

CPp,CPp,CPp

Verisign Class 4 Public Primary Certification Authority - G3

CPp,CPp,CPp

Entrust.net Secure Server CA

CPp,CPp,CPp

Entrust.net Secure Personal CA

CPp,CPp,CPp

Entrust.net Premium 2048 Secure Server CA

CPp,CPp,CPp

ValiCert OCSP Responder

CPp,CPp,CPp

Baltimore CyberTrust Code Signing Root

CPp,CPp,CPp

Baltimore CyberTrust Root

CPp,CPp,CPp

Baltimore CyberTrust Mobile Commerce Root

CPp,CPp,CPp

Equifax Secure Global eBusiness CA

CPp,CPp,CPp

Equifax Secure eBusiness CA 1

CPp,CPp,CPp

Equifax Secure eBusiness CA 2

CPp,CPp,CPp

Visa International Global Root 1

CPp,CPp,CPp

Visa International Global Root 2

CPp,CPp,CPp

Visa International Global Root 3

CPp,CPp,CPp

Visa International Global Root 4

CPp,CPp,CPp

Visa International Global Root 5

CPp,CPp,CPp

beTRUSTed Root CA

CPp,CPp,CPp

Xcert Root CA

CPp,CPp,CPp

Xcert Root CA 1024

CPp,CPp,CPp

Xcert Root CA v1

CPp,CPp,CPp

Xcert Root CA v1 1024

CPp,CPp,CPp

Xcert EZ

CPp,CPp,CPp

CertEngine CA

CPp,CPp,CPp

BankEngine CA

CPp,CPp,CPp

FortEngine CA

CPp,CPp,CPp

MailEngine CA

CPp,CPp,CPp

TraderEngine CA

CPp,CPp,CPp

USPS Root

CPp,CPp,CPp

USPS Production 1

CPp,CPp,CPp

AddTrust Non-Validated Services Root

CPp,CPp,CPp

AddTrust External Root

CPp,CPp,CPp

AddTrust Public Services Root

CPp,CPp,CPp

AddTrust Qualified Certificates Root

CPp,CPp,CPp

Verisign Class 1 Public Primary OCSP Responder

CPp,CPp,CPp

Verisign Class 2 Public Primary OCSP Responder

CPp,CPp,CPp

Verisign Class 3 Public Primary OCSP Responder

CPp,CPp,CPp

Verisign Secure Server OCSP Responder

CPp,CPp,CPp

Verisign Time Stamping Authority CA

CPp,CPp,CPp

Thawte Time Stamping CA

CPp,CPp,CPp

E-Certify CA

CPp,CPp,CPp

E-Certify RA

CPp,CPp,CPp

Entrust.net Global Secure Server CA

CPp,CPp,CPp

Entrust.net Global Secure Personal CA

CPp,CPp,CPp

certadmin 脚本

您可使用 certadmin 脚本完成以下证书管理任务:

生成自签名证书

您需要在每个服务器和网关组件之间用于生成 SSL 通信的证书。

  在安装后生成自签名证书

  1. 以根用户身份,在您要为其生成证书的“网关”机器上运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 1

  2. 选择证书管理菜单上的选项 1

    3. 证书管理脚本询问您是否要保留现有数据库文件。

  3. 输入组织特定信息、令牌名和证书名。

    注意

    对于通配符证书,在主机的全限定 DNS 名中指定一个 *。例如,如果主机的全限定 DNS 名为 abc.sesta.com,则将其指定为 *.sesta.com。现在,生成的证书对 sesta.com 域中的所有主机名均有效。

    4. 此主机的全限定 DNS 名称是什么? [host_name.domain_name]

    您所属的组织(如公司)的名称是什么? []

    您所属的组织单位(如部门)的名称是什么?[]

    您所在的城市或地区的名称是什么? []

    您所在的洲名或省名是什么(请勿使用缩写)? []

    此单位的两字国家代码是什么? []

    仅当您不使用默认内部(软件)加密模块时才需要令牌名,例如,如果您想使用加密卡(令牌名可使用以下形式列出:modutil -dbdir/etc/opt/SUNWps/cert/gateway-profile-name -List);否则,只需点击下面的回车键。

    请输入令牌名。[]

    请为此证书输入您想要的名称?

    输入证书的有限期(按月)[6]

    将生成一自签名证书并提示返回。

    令牌名(默认值为空)和证书名存储在 /etc/opt/SUNWps/cert/gateway-profile-name 下面的 .nickname 文件中。

  4. 重新启动网关以使证书生效:

    5. gateway-install-root/SUNWps/bin/gateway -n new gateway-profile-name start

生成证书签名请求 (CSR)

在您可从 CA 定购证书之前,需要生成将包含 CA 所需信息的证书签名请求。

  生成 CSR
  1. 以根用户身份,运行 certadmin 脚本:

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 2

  2. 选择证书管理菜单上的选项 2

    3. 脚本提示您输入组织指定的信息、令牌名和网站管理员的电子邮件和电话号码。

    确保指定主机的全限定 DNS 名。

    此主机的全限定 DNS 名称是什么? [snape.sesta.com]

    您所属的组织(如公司)的名称是什么? []

    您所属的组织单位(如部门)的名称是什么? []

    您所在的城市或地区的名称是什么? []

    您所在的洲名或省名是什么(请勿使用缩写)? []

    此单位的两字国家代码是什么? []

    仅当您不使用默认内部(软件)加密模块时才需要令牌名,例如,如果您想使用加密卡(令牌名可使用以下形式列出:modutil -dbdir /etc/opt/SUNWps/cert -list); 否则,只需点击下面的回车键。

    请输入令牌名 []

    对于要为其生成证书的机器,请输入其网站管理员的一些联系信息。

    该服务器的管理员/网站管理员的电子邮件地址是什么 []?

    该服务器的管理员/网站管理员的电话号码 []?

  3. 键入全部所需信息。

    4. 注意

    请勿将网站管理员的电子邮件和电话号码留为空白。此信息对于获取有效 CSR 是必需的。

portal-server-install-root/SUNWps/bin/csr.hostname.datetimestamp 文件中将生成并存储 CSR。CSR 也会打印在屏幕上。当您从 CA 定购证书时,可直接复制并粘贴 CSR。

添加根 CA 证书

如果客户机站点所提供的经 CA 签名的证书不为“网关”证书数据库所知,则 SSL 信号交换将失败。

为防止出现此情况,您需要向证书数据库中添加根 CA 证书。这将确保使 CA 为“网关”所知。

浏览到 CA 的网站并获取该 CA 的根证书。当您使用 certadmin 脚本时,指定根 CA 证书的文件名和路径。

  添加根 CA 证书
  1. 以根用户身份,运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 3

  2. 选择证书管理菜单上的选项 3
  3. 输入包含根证书的文件名,并输入证书名。

    4. 根 CA 证书会被添加到证书数据库。

安装来自证书授权机构的 SSL 证书

在安装 Secure Remote Access 的“网关”组件的过程中,默认情况下将创建并安装自签名证书。在安装之后,您可随时安装由供应商(提供官方证书授权机构 (CA) 服务)或您公司的 CA 签名的 SSL 证书。

此项任务涉及三个步骤:

从 CA 定购证书

在生成证书签名请求 (CSR) 后,您需要使用 CSR 从 CA 定购证书。

  从 CA 定购证书
  1. 转到“证书授权机构”的网站,并定购您的证书。
  2. 提供 CA 所需的 CSR。提供 CA 所需的其它信息(如果需要)。

    3. 您会收到来自 CA 的证书。将其保存到文件中。在文件中需包括连同证书在内的“BEGIN CERTIFICATE”和“END CERTIFICATE”行。

    以下示例省略了实际的证书数据。

    -----BEGIN CERTIFICATE-----

    证书内容...

    ----END CERTIFICATE-----

安装来自 CA 的证书

使用 certadmin 脚本,在 /etc/opt/SUNWps/cert/gateway-profile-name 下的本地数据库文件中安装从 CA 获取的证书。

  安装来自 CA 的证书
  1. 以根用户身份,运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 4

  2. 选择证书管理菜单上的选项 4

    3. 脚本要求您输入证书文件名、证书名和令牌名。

    包含证书的文件名(包括路径)是什么?

    创建证书的 CSR 时请输入您使用的令牌名。[]

  3. 提供全部所需的信息。

    4. 证书被安装在 /etc/opt/SUNWps/cert/gateway-profile-name 中,并且返回屏幕提示。

  4. 重新启动网关以使证书生效:

    5. gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start

删除证书

通过使用证书管理脚本可删除证书。

  删除证书
  1. 以根用户身份,运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    其中,gateway-profile-name 是“网关”实例名。

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 5

  2. 选择证书管理菜单上的选项 5
  3. 输入要删除证书的名称。

修改证书的委托属性

证书的委托属性需要修改的一种情况便是对“网关”应用客户机验证。PDC(个人数字证书)是客户机验证的一个示例。签发 PDC 的 CA 必须要受“网关”委托,并且必须将 CA 证书标记为“T”以满足 SSL。

如果安装“网关”组件与 HTTPS 站点进行通信,则 HTTPS 站点服务器证书的 CA 必须要受“网关”委托,并且必须将 CA 证书标记为“C”以满足 SSL。

  修改证书的委托属性
  1. 以根用户身份,运行 certadmin 脚本。

    2. gateway-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    其中,gateway-profile-name 是“网关”实例名。

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 6

  2. 选择证书管理菜单上的选项 6
  3. 输入证书名称。例如,Thawte Personal Freemail C。

    4. 请输入证书名?

    Thawte Personal Freemail CA

  4. 输入证书的委托属性。

    5. 请输入要使证书具有的委托属性 [CT,CT,CT]

证书委托属性将被更改。

列出根 CA 证书

通过使用证书管理脚本可查看所有根 CA 证书。

  查看根 CA 的列表
  1. 以根用户身份,运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    其中,gateway-profile-name 是“网关”实例名。

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 7

  2. 选择证书管理菜单上的选项 7

    3. 显示所有根 CA 证书。

列出所有证书

通过使用证书管理脚本可查看所有证书及其相应的委托属性。

  列出所有证书
  1. 以根用户身份,运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    其中,gateway-profile-name 是“网关”实例名。

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 8

  2. 选择证书管理菜单上的选项 8

    3. 显示所有 CA 证书。

打印证书

通过使用证书管理脚本可打印证书。

  打印证书
  1. 以根用户身份,运行 certadmin 脚本。

    2. portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name

    其中,gateway-profile-name 是“网关”实例名。

    显示证书管理菜单。

    1) 生成自签名证书

    2) 生成证书签名请求 (CSR)

    3) 添加根 CA 证书

    4) 安装来自证书授权机构 (CA) 的证书

    5) 删除证书

    6) 修改证书的委托属性(例如,用于 PDC)

    7) 请列出根 CA 证书

    8) 列出所有证书

    9) 打印证书内容

    10) 退出

    选择:[10] 9

  2. 选择证书管理菜单上的选项 9
  3. 输入证书名称。


上一页      目录      索引      下一页     

版权所有 2003 Sun Microsystems, Inc. 保留所有权利。