建立憑證資料庫 (Sun Java System Calendar Server 6.3 管理指南)

Sun Java System Calendar Server 6.3 管理指南

建立憑證資料庫

閘道需要憑證，才能將它的公開金錀傳送至用戶端。憑證包含閘道的公開金鑰、與閘道憑證關聯的辨別名稱、憑證的序號或發出日期，以及憑證的過期日期。憑證是由憑證授權單位 (Certification Authority, CA) 發出，這個憑證授權單位會驗證閘道的身份。CA 是發出及管理 X.509 公開金鑰憑證及 CARL 或憑證撤銷清單 (Certification Revocation List, CRL) 的授權單位，受到一或多個使用者信任。CA 是公開金鑰基礎架構 (Public Key Infrastructure, PKI) 的基本建立區塊。另一方面，PKI 是一組用於管理憑證及公開-私密金錀對的策略、程序、伺服器平台、軟體及工作站，包括發出、維護及撤銷公開金鑰憑證的能力。

CA 會將它的名稱插入到每個它所產生的憑證及 CRL，並利用它的私密金鑰以數位方式簽名憑證。一旦您 (直接或透過憑證路徑) 確立了對 CA 的信任，便可以信任該 CA 發出的憑證。透過比較名稱，您可以輕易地識別該 CA 發出的憑證。無論如何，它的公開金鑰都可以用來確保憑證有效。

CA 會執行四個基本 PKI 功能：

發出 (建立及簽署) 憑證。
維護憑證狀態資訊及發出 CRL。
發佈它的目前 (未過期) 憑證及 CRL
維護有關過期憑證的狀態資訊的歸檔。

伺服器的憑證及金錀對代表伺服器身份。它們儲存在憑證資料庫中，這個憑證資料庫可以位於伺服器內部，或位於外部的可移除的硬體卡 (智慧卡)。用於 Calendar Server 的 SSL 實作需要憑證資料庫。憑證資料庫必須定義認證機構 (CA) 和用於 Calendar Server 的憑證。本小節包含概念資訊和工作資訊：

開始之前

建立憑證資料庫之前，請先熟悉以下內容：

Mozilla 工具

本發行版本包含以下 Mozilla 工具：
- 憑證資料庫工具 (certutil)，用於建立與管理憑證資料庫。如需相關資訊，請參閱以下網站：
  
  http://mozilla.org/projects/security/pki/nss/tools/certutil.html
  
  提示 –
  嘗試產生您的憑證資料庫之前，請熟悉該工具的語法。
- 安全模組資料庫工具 (modutil)，用於顯示有關可用安全模組的資訊。如需相關資訊，請參閱以下網站：
  
  http://mozilla.org/projects/security/pki/nss/tools/modutil.html
  
  這些公用程式位於以下目錄中：
  
  /opt/SUNWics5/cal/lib
  
  您也可以從網站下載最新版本。
程式庫路徑變數

在使用 Mozilla 工具之前，適當地設定您的 LD_LIBRARY_PATH 變數。例如：
```
setenv LD_LIBRARY_PATH /opt/SUNWics5/cal/lib
```
範例檔案與目錄

本章中的範例使用以下檔案與目錄
- /etc/opt/SUNWics5/config 是包含憑證資料庫的目錄。
  
  定期備份憑證資料庫。您可以選擇在另一個目錄中建立憑證資料庫。如果這樣做，也須在相同目錄中保存憑證密碼檔案。
- sslpassword.conf 是文字檔案，包含憑證資料庫密碼。
  
  此檔案由 certutil 公用程式而非 Calendar Server 使用。在以下目錄中建立 sslpassword.conf：
  
  /etc/opt/SUNWics5/config
- /etc/passwd 中的檔案引入用於產生隨機數的平均資訊量，亦即該目錄用於產生不相同且唯一的種子，這些種子有助於確保隨機數產生器確實產生隨機結果。

以超級使用者的身份登入或成為超級使用者 (root)。

在 /etc/opt/SUNWics5/config/sslpassword.conf 指定憑證資料庫密碼。

例如：
# echo "password file entry" /etc/opt/SUNWics5/config/sslpassword.conf
密碼檔項目的格式如下：

內部 (軟體) 記號：密碼

建立憑證資料庫目錄。例如：
# cd /var/opt/SUNWics5 # mkdir alias

移至 bin 目錄，並產生憑證資料庫 (cert8.db) 和金鑰資料庫 (key3.db)。例如：
# cd /opt/SUNWics5/cal/bin # ./certutil -N -d /etc/opt/SUNWics5/config -f /etc/opt/SUNWics5/config/sslpassword.conf
備註 –
當您必須執行 certutil 公用程式時，請完全依照範例，或者查閱 certutil 說明頁面以瞭解語法。

例如，在這種情況下，沒有指定 -d /file 資訊，請勿執行帶有 -N 選項的此公用程式。

產生預設的自我簽署的根認證機構憑證。例如：

# ./certutil -S -n SampleRootCA -x -t "CTu,CTu,CTu"
 -s "CN=My Sample Root CA, O=sesta.com" -m 25000
 -o /etc/opt/SUNWics5/config/SampleRootCA.crt
 -d /etc/opt/SUNWics5/config
 -f /etc/opt/SUNWics5/config/sslpassword.conf -z
 /etc/passwd

產生用於主機的憑證。例如：

# ./certutil -S -n SampleSSLServerCert -c SampleRootCA 
 -t "u,u,u"
 -s "CN=hostname.sesta.com, O=sesta.com" -m 25001
 -o /etc/opt/SUNWics5/config/SampleSSLServer.crt
 -d /etc/opt/SUNWics5/config 
 -f /etc/opt/SUNWics5/config/sslpassword.conf
 -z /etc/passwd

其中 hostname.sesta.com 為伺服器主機名稱。

驗證憑證。例如：

# ./certutil -V -u V -n SampleRootCA  
    -d /etc/opt/SUNWics5/config
 # ./certutil -V -u V -n SampleSSLServerCert 
   -d /etc/opt/SUNWics5/config

列出憑證。例如：

# ./certutil -L -d /etc/opt/SUNWics5/config
 # ./certutil -L -n SampleSSLServerCert 
   -d /etc/opt/SUNWics5/config

使用 modutil 列出可用的安全模組 (secmod.db)。例如：
# ./modutil -list -dbdir /etc/opt/SUNWics5/config

將別名檔案的所有者變更為 icsuser 與 icsgroup (或 Calendar Server 執行時將使用的使用者與群組身份)。例如：
# find /etc/opt/SUNWics5/config -exec chown icsuser {}; # find /etc/opt/SUNWics5/config -exec chgrp icsgroup {};