配置 SSL 通訊
本節包含停用及啟用 SSL 的相關程序。
停用非安全通訊
建立伺服器實例時,預設會建立 LDAP 明文連接埠與 LDAP 安全連接埠 (LDAPS)。但在某些情況下,可能會想停用非 SSL 通訊,而使伺服器通訊只能透過 SSL 進行。
SSL 連線啟用時會使用預設的自行簽署憑證。若您認為有必要,也可安裝自己的憑證。如需在伺服器啟動後管理憑證及停用 SSL 的相關指示,請參閱第 5 章, 目錄伺服器安全性。如需憑證、憑證資料庫以及取得 CA 簽署伺服器憑證的簡介,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」。
停用 LDAP 明文連接埠
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
停用 LDAP 明文連接埠。
若要停用非安全點,必須連結至 LDAP 安全點。此範例說明主機伺服器 host1 上的預設 LDAP 安全連接埠 1636 之連結。
$ dsconf set-server-prop -h host1 -p 1636 ldap-port:disabled
-
重新啟動伺服器,使變更生效。
$ dsadm restart /local/ds
您現在再也不需要在非安全連接埠 1389 上進行連結。
選擇加密密碼
密碼是為資料加密及解密時所使用的演算法。一般而言,密碼在加密期間所使用的位元數越多,加密就越嚴密或安全。SSL 的密碼也可經由使用的訊息認證類型來識別。訊息認證也是一種演算法,可計算能夠確保資料完整性的總和檢查。
當用戶端初始化與伺服器的 SSL 連線時,用戶端與伺服器必須協議出用以加密資訊的密碼。在任何雙向加密程序中,雙方都必須使用相同的密碼。所使用的密碼取決於伺服器所保存之密碼清單目前的順序。伺服器會選擇用戶端所呈現的密碼中,第一個符合其清單中之密碼的密碼。目錄伺服器的預設密碼值為 all,代表基礎 SSL 程式庫所支援的所有已知安全密碼。但您也可以修改此值,而僅接受特定密碼。
如需有關可用於目錄伺服器之密碼的更多資訊,請參閱「Sun Java System Directory Server Enterprise Edition 6.0 Reference」。
選擇加密密碼
您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。
-
請確定您的伺服器已啟用 SSL。
請參閱配置 SSL 通訊。
-
檢視可用的 SSL 密碼。
$ dsconf get-server-prop -h host -p port ssl-supported-ciphers ssl-supported-ciphers : TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_DHE_RSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_DHE_DSS_WITH_AES_256_CBC_SHA ...
-
(可選擇) 若要保有非加密資料的副本,請在設定 SSL 密碼前先匯出資料。
請參閱匯出至 LDIF。
-
設定 SSL 密碼。
$ dsconf set-server-prop -h host -p port ssl-cipher-family:cipher
例如,若要將密碼系列設為 SSL_RSA_WITH_RC4_128_MD5 與 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,請鍵入:
$ dsconf set-server-prop -h host1 -p 1636 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \ ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA Enter "cn=Directory Manager" password: Before setting SSL configuration, export Directory Server data. Do you want to continue [y/n] ? y Directory Server must be restarted for changes to take effect.
-
重新啟動伺服器,使變更生效。
$ dsadm restart /local/ds
- © 2010, Oracle Corporation and/or its affiliates