在 Instant Messaging 中使用 TLS 和传统 SSL 的概述

对于客户机到服务器和服务器到服务器的加密通信以及服务器间基于证书的验证，Instant Messaging 使用传输层安全 (Transport Layer Security, TLS) 1.0 协议的 startTLS 扩充。此外，对于 Instant Messenger 和多路复用器之间的加密通信，Instant Messaging 支持传统的 SSL 协议（版本 3.0）。在更高的版本中，将使用证书来验证客户机所连接的服务器的身份，但证书不会用于验证。

多路复用器与服务器之间的通信基于不安全的传输。将 TLS 用于客户机到服务器的通信时，多路复用器仅在客户机与服务器之间来回传送字节，并不会执行任何加密和解密操作。

TLS 与 SSL 完全兼容，并且包括所有必要的 SSL 功能。TLS 和 SSL 是 XMPP 和 HTTP 应用层下的协议层。

如果将多路复用器设置为仅使用传统 SSL，则 Instant Messenger 将仅使用 SSL 来连接到多路复用器，并且会忽略服务器返回的所有有关 TLS 可用性的信息。然而，如果选择将传统 SSL 用于多路复用器，应将所有 XMPP/HTTP 网关实例配置为直接与服务器而非多路复用器通信。网关不支持传统 SSL。基于传统 SSL 连接到多路复用器并随后请求 TLS 连接的第三方客户机则可执行此操作。

此外，多路复用器基于不安全的传输连接到服务器。如果要保证端对端（客户机通过多路复用器到服务器以及返回）通信的安全性，使用 TLS 代替传统 SSL。

要将 TLS 用于 Instant Messaging 服务器，必须使用 Java 1.5（最低版本）。

有关 XMPP 中的 TLS 和 StartTLS 的信息，参见 RFC 3920 Extensible Messaging and Presence Protocol: Core 中的 "Use of TLS"。有关证书、SSL 和 TLS 的概述，参见《Sun Java System Application Server Enterprise Edition 8.2 管理指南》中的《Sun Java System Application Server Enterprise Edition 8.2 Administration Guide》中的“Introduction to Certificates and SSL”。本小节中的各程序假定您要使用 Sun Java^TM System Application Server 来生成证书。如果要使用另一 Web 容器，需参阅该 Web 容器的相关文档，获取有关生成密钥库和证书的特定说明。