test

Sun Java System Directory Server Enterprise Edition 6.0 管理指南

Procedure請求目錄代理伺服器的 CA 簽署憑證

自行簽署的憑證適用於測試目的。但是,在生產環境中,使用可信任的憑證授權單位 (CA) 憑證更為安全。

您可以使用 DSCC 執行此作業。如需有關資訊,請參閱目錄服務控制中心介面與 DSCC 線上說明。

  1. 請求 CA 簽署的伺服器憑證。


    $ dpadm request-cert instance-path cert-alias

    其中 cert-alias 是請求的憑證名稱。憑證授權單位可能需要指令的所有選項以識別伺服器。如需所有指令選項的說明,請參閱 dpadm(1M) 線上手冊。

    取得 CA 憑證的程序會因使用的 CA 而異。有些商業 CA 提供網站供您下載憑證。其他 CA 則以電子郵件傳送憑證。

    例如,您可依下列方式請求名為 my-CA-signed-cert 的憑證:


    $ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert
-----BEGIN NEW CERTIFICATE REQUEST-----
MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3
DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ
PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5
W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA
fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ
g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6
zwbn2EmIpjHzETtS5Nk=
-----END NEW CERTIFICATE REQUEST-----

    透過使用 dpadm request-cert 指令請求憑證時,憑證請求是安全電子郵件 (PEM) 格式的 PKCS #10 憑證請求。PEM 是 RFC 1421 到 1424 所指定的格式。如需詳細資訊,請參閱 http://www.ietf.org/rfc/rfc1421.txt。PEM 格式表示 ASCII 格式的 base64 編碼憑證請求。

    請求 CA 簽署的憑證時,系統會建立臨時的自行簽署憑證。當您從 CA 接收並安裝 CA 簽署憑證之後,新的憑證會取代臨時的自行簽署憑證。

  2. 根據 CA 程序,將憑證請求傳送到 CA。

    傳送請求之後,必須等候 CA 回應以提供憑證。請求的回應時間各異。例如,如果是公司內部的 CA,回應時間可能很短。但如果是公司外部的 CA,可能需要數週才會回應您的請求。

  3. 儲存從 CA 收到的憑證。

    將憑證儲存在文字檔中,並在安全的位置備份憑證。