Sun ONE Portal Server, Secure Remote Access 6.2 管理员指南 |
第 7 章
证书本章介绍证书管理并说明如何安装自签名证书和来自“证书授权机构”的证书。
本章包括以下主题:
SSL 证书概述Sun ONE Portal Server, Secure Remote Access 软件为远程用户提供基于证书的验证。Secure Remote Access 使用“加密套接字层”(SSL) 启用安全通信。SSL 协议可在两台机器之间实现安全通信。
SSL 证书使用公共和私有密钥对提供加密和解密功能。
有两种类型的证书:
默认情况下,当安装“网关”时,将会生成并安装自签名证书。
在安装后,您可随时生成、获取或替换证书。
Secure Remote Access 也支持以“个人数字证书”(PDC) 进行客户机验证。PDC 是一个通过 SSL 客户机验证来验证用户的机制。进行 SSL 客户机验证时,SSL 信号交换将在“网关”结束。“网关”抽取用户的 PDC 并将其传递给已验证的服务器。该服务器使用 PDC 验证用户。要同时配置 PDC 与“验证链”,请参阅“使用验证链”。
Secure Remote Access 提供名为 certadmin 的工具,可使用它来管理 SSL 证书。请参阅“certadmin 脚本”。
证书文件证书相关文件位于 /etc/opt/SUNWps/cert/default/gateway-profile-name。默认情况下,此目录包含 5 个文件。
表 7-1 列出这些文件及其说明。第一列列出证书文件名,第二列指定文件类型,第三列是对文件的说明。
证书委托属性证书的委托属性表明:
对于每一证书均有三种可用的委托类别,按如下顺序表示:“SSL、电子邮件、对象登记”。对于“网关”组件,仅第一类别有用。在每一类别位置中,将使用多个或不使用任何委托属性代码。
类别的属性代码以逗号分隔,并且整个属性组由引号括在其中。例如,在“网关”安装期间生成并安装的自签名证书被标记为“u,u,u”,它表示该证书是与根 CA 证书相对的服务器证书(用户证书)。
表 7-2 列出可能的属性值及每个值的含义。第一列列出属性,第二列对属性进行描述。
表 7-2 证书委托属性
属性
描述
p
有效同级
P
委托同级(暗示 p)
c
有效 CA
T
签发客户机证书的委托 CA(暗示 c)
C
签发服务器证书的委托 CA(仅限 SSL)(暗示 c)
u
证书可用于验证或登记
w
发送警告(当证书在该环境中使用时,与其它属性一起使用以包括警告)
CA 委托属性证书数据库中包括大多数众所周知的公共 CA。有关修改公共 CA 之委托属性的信息,请参阅“修改证书的委托属性”。
表 7-3 列出带有委托属性的最常见“证书授权机构”。第一列列出“证书授权机构”,第二列列出该 CA 的委托属性。
certadmin 脚本您可使用 certadmin 脚本完成以下证书管理任务:
生成自签名证书您需要在每个服务器和网关组件之间用于生成 SSL 通信的证书。
在安装后生成自签名证书
- 以根用户身份,在您要为其生成证书的“网关”机器上运行 certadmin 脚本。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
显示证书管理菜单。
1) 生成自签名证书
2) 生成证书签名请求 (CSR)
3) 添加根 CA 证书
4) 安装来自证书授权机构 (CA) 的证书
5) 删除证书
6) 修改证书的委托属性(例如,用于 PDC)
7) 请列出根 CA 证书
8) 列出所有证书
9) 打印证书内容
10) 退出
选择:[10] 1
- 选择证书管理菜单上的选项 1。
证书管理脚本询问您是否要保留现有数据库文件。
- 输入组织特定信息、令牌名和证书名。
令牌名(默认值为空)和证书名存储在 /etc/opt/SUNWps/cert/gateway-profile-name 下面的 .nickname 文件中。
- 重新启动网关以使证书生效:
gateway-install-root/SUNWps/bin/gateway -n new gateway-profile-name start
生成证书签名请求 (CSR)在您可从 CA 定购证书之前,需要生成将包含 CA 所需信息的证书签名请求。
生成 CSR
- 以根用户身份,运行 certadmin 脚本:
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
显示证书管理菜单。
1) 生成自签名证书
2) 生成证书签名请求 (CSR)
3) 添加根 CA 证书
4) 安装来自证书授权机构 (CA) 的证书
5) 删除证书
6) 修改证书的委托属性(例如,用于 PDC)
7) 请列出根 CA 证书
8) 列出所有证书
9) 打印证书内容
10) 退出
选择:[10] 2
- 选择证书管理菜单上的选项 2。
脚本提示您输入组织指定的信息、令牌名和网站管理员的电子邮件和电话号码。
确保指定主机的全限定 DNS 名。
此主机的全限定 DNS 名称是什么? [snape.sesta.com]
您所属的组织(如公司)的名称是什么? []
您所属的组织单位(如部门)的名称是什么? []
您所在的城市或地区的名称是什么? []
您所在的洲名或省名是什么(请勿使用缩写)? []
此单位的两字国家代码是什么? []
仅当您不使用默认内部(软件)加密模块时才需要令牌名,例如,如果您想使用加密卡(令牌名可使用以下形式列出:modutil -dbdir /etc/opt/SUNWps/cert -list); 否则,只需点击下面的回车键。
请输入令牌名 []
对于要为其生成证书的机器,请输入其网站管理员的一些联系信息。
该服务器的管理员/网站管理员的电子邮件地址是什么 []?
该服务器的管理员/网站管理员的电话号码 []?
- 键入全部所需信息。
在 portal-server-install-root/SUNWps/bin/csr.hostname.datetimestamp 文件中将生成并存储 CSR。CSR 也会打印在屏幕上。当您从 CA 定购证书时,可直接复制并粘贴 CSR。
添加根 CA 证书如果客户机站点所提供的经 CA 签名的证书不为“网关”证书数据库所知,则 SSL 信号交换将失败。
为防止出现此情况,您需要向证书数据库中添加根 CA 证书。这将确保使 CA 为“网关”所知。
浏览到 CA 的网站并获取该 CA 的根证书。当您使用 certadmin 脚本时,指定根 CA 证书的文件名和路径。
添加根 CA 证书
- 以根用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
显示证书管理菜单。
1) 生成自签名证书
2) 生成证书签名请求 (CSR)
3) 添加根 CA 证书
4) 安装来自证书授权机构 (CA) 的证书
5) 删除证书
6) 修改证书的委托属性(例如,用于 PDC)
7) 请列出根 CA 证书
8) 列出所有证书
9) 打印证书内容
10) 退出
选择:[10] 3
- 选择证书管理菜单上的选项 3。
- 输入包含根证书的文件名,并输入证书名。
根 CA 证书会被添加到证书数据库。
安装来自证书授权机构的 SSL 证书在安装 Secure Remote Access 的“网关”组件的过程中,默认情况下将创建并安装自签名证书。在安装之后,您可随时安装由供应商(提供官方证书授权机构 (CA) 服务)或您公司的 CA 签名的 SSL 证书。
此项任务涉及三个步骤:
从 CA 定购证书
在生成证书签名请求 (CSR) 后,您需要使用 CSR 从 CA 定购证书。
从 CA 定购证书
安装来自 CA 的证书
使用 certadmin 脚本,在 /etc/opt/SUNWps/cert/gateway-profile-name 下的本地数据库文件中安装从 CA 获取的证书。
安装来自 CA 的证书
- 以根用户身份,运行 certadmin 脚本。
portal-server-install-root/SUNWps/bin/certadmin -n gateway-profile-name
显示证书管理菜单。
1) 生成自签名证书
2) 生成证书签名请求 (CSR)
3) 添加根 CA 证书
4) 安装来自证书授权机构 (CA) 的证书
5) 删除证书
6) 修改证书的委托属性(例如,用于 PDC)
7) 请列出根 CA 证书
8) 列出所有证书
9) 打印证书内容
10) 退出
选择:[10] 4
- 选择证书管理菜单上的选项 4。
脚本要求您输入证书文件名、证书名和令牌名。
- 提供全部所需的信息。
证书被安装在 /etc/opt/SUNWps/cert/gateway-profile-name 中,并且返回屏幕提示。
- 重新启动网关以使证书生效:
gateway-install-root/SUNWps/bin/gateway -n gateway-profile-name start
删除证书通过使用证书管理脚本可删除证书。
删除证书
修改证书的委托属性证书的委托属性需要修改的一种情况便是对“网关”应用客户机验证。PDC(个人数字证书)是客户机验证的一个示例。签发 PDC 的 CA 必须要受“网关”委托,并且必须将 CA 证书标记为“T”以满足 SSL。
如果安装“网关”组件与 HTTPS 站点进行通信,则 HTTPS 站点服务器证书的 CA 必须要受“网关”委托,并且必须将 CA 证书标记为“C”以满足 SSL。
修改证书的委托属性
证书委托属性将被更改。
列出根 CA 证书通过使用证书管理脚本可查看所有根 CA 证书。
查看根 CA 的列表
列出所有证书通过使用证书管理脚本可查看所有证书及其相应的委托属性。
列出所有证书
打印证书通过使用证书管理脚本可打印证书。
打印证书