为 Instant Messaging 服务器设置 TLS

要为 Instant Messaging 服务器到服务器和客户机到服务器通信启用 TLS，需执行以下常规步骤：

1. 使用 keytool 实用程序创建 Java 密钥库 (Java keystore, JKS) 和私钥。

   有关 keytool 实用程序的概述，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Tools for Managing Security”。有关使用 Sun Java System Application Server 生成 JKS 的说明，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Working with Certificates and SSL”。

2. 使用私钥生成 Instant Messaging 服务器的服务器证书。

   有关说明，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Generating a Certificate Using the keytool Utility”。

3. 获取由证书颁发机构 (Certificate Authority, CA) 签署的 Instant Messaging 服务器证书。

   有关说明，参见《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Signing a Digital Certificate Using the keytool Utility”。在适当的位置用 Instant Messaging 替换 Application Server。

4. 重新启动 Instant Messaging 服务器。

   有关详细信息，参见启动 Instant Messaging 组件。

5. 获取 CA 的根证书。

   有关获取 CA 根证书的说明，请联系您的 CA。

6. 将证书导入密钥库中。

   使用 keytool 实用程序将 CA 根证书和已签署的服务器证书导入密钥库中，如《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Using the keytool Utility”中所述。

7. 通过在 iim.conf 中设置相应的参数来在服务器中激活 TLS。

   有关说明，参见在 Instant Messaging 服务器上激活 TLS。

8. 对于基于 TLS 的服务器到服务器通信，需对每台要基于 TLS 实现通信的服务器重复这些步骤。无需执行任何操作来配置 Instant Messenger 以使用 TLS。也无需针对 TLS 配置多路复用器，但是，如果打算使用 TLS，则不可将多路复用器设置为使用传统 SSL。

9. 如果要在部署中使用 XMPP/HTTP 网关，则将网关配置为直接与 Instant Messaging 服务器而非多路复用器通信。

如果您正使用 Sun Java System Application Server，《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Working with Certificates and SSL”中有步骤 1 至 5 的说明。在 Instant Messaging 服务器上激活 TLS中描述了步骤 6。