test

Sun Java System Instant Messaging 7.2 管理指南

為多重訊號組合器與 Instant Messenger 設定舊有 SSL

如果您正在使用的 Instant Messaging 客戶端不支援 TLS ,用戶端對多重訊號組合器之間的通訊則仍可使用 SSL,但不能使用 TLS。如果您將多重訊號組合器配置為使用 SSL,則無法讓用戶端對伺服器之間的連線使用TLS。所有多重訊號組合器與伺服器間的通訊都會是以明碼文字形式進行的不安全傳輸。

如果您在多重訊號組合器上設定舊有 SSL,並使用 XMPP/HTTP 閘道,則您必須將閘道配置為直接與伺服器而非透過多重訊號組合器進行通訊。閘道不支援舊有 SSL。

要啟用多重訊號組合器與 Instant Messenger 間的 SSL 通訊,需要遵循下列步驟:

  1. 為 Instant Messaging 多重訊號組合器向 CA 請求 SSL 憑證

  2. 安裝憑證

  3. 在多重訊號組合器與 Instant Messenger 間啟用舊有 SSL

  4. 在 Instant Messaging 伺服器上啟動 TLS

  5. 呼叫 Instant Messenger 的安全版本

為 Instant Messaging 多重訊號組合器向 CA 請求 SSL 憑證

在多重訊號組合器中啟用 SSL,您需要請求憑證。

Procedure為 Instant Messaging 多重訊號組合器請求憑證

此節假設您正在使用 Sun Java System Web Server 或 Sun Java System Application Server 做為您的 Web 容器來請求憑證。

多重訊號組合器會使用 NSS 來管理憑證,因此您可使用 NSS 公用程式來建立、管理與使用憑證及憑證資料庫。

  1. 在網頁瀏覽器中,鍵入下列 URL 來啟動 Web 容器的管理伺服器:


    http://hostname.domain-name:administration-port

    會顯示一個視窗,詢問您的使用者名稱與密碼。

  2. 輸入在安裝 Web Server 或 Application Server 期間指定的管理使用者名稱與密碼。

    [管理伺服器] 頁面隨即出現。

  3. 建立單獨的 Web Server 或 Application Server 實例。

    如需安裝多個 Application Server 實例的詳細資訊,請參閱「Sun Java System Application Server Enterprise Edition 8.2 Installation Guide」。如需安裝多個 Web Server 實例的詳細資訊,請參閱「Sun Java Communications Suite 5 Installation Guide」

  4. 建立信任資料庫以儲存公開和私人金鑰,也稱之為金鑰對檔案。

    會使用金鑰對檔案進行 SSL 加密。

    如需建立信任資料庫的資訊,請參閱「Sun Java System Application Server Enterprise Edition 8.2 Administration Guide」中的第 9 章「Configuring Security」以取得關於 Application Server 的資訊,以及「Sun Java System Web Server 7.0 Administrator’s Guide」中的第 6 章「Certificates and Keys」以取得關於 Web Server 的資訊。

  5. 向 CA 請求憑證。

    如需請求憑證的詳細資訊,請參閱「Sun Java System Application Server Enterprise Edition 8.2 Administration Guide」中的第 9 章「Configuring Security」以取得關於 Application Server 的資訊,以及「Sun Java System Web Server 7.0 Administrator’s Guide」中的第 6 章「Certificates and Keys」以取得關於 Web Server 的資訊。

安裝憑證

在您收到認證機構所簽署的伺服器憑證後,需要安裝憑證並建立資料庫以實現安全連線。

Procedure為 Instant Messaging 多重訊號處理器安裝憑證

  1. 在網頁瀏覽器中,鍵入下列 URL 來啟動管理伺服器:


    http://hostname.domain-name:administration-port

    會顯示一個視窗,詢問您的使用者名稱與密碼。

  2. 輸入在安裝 Web Server 或 Application Server 期間指定的管理使用者名稱與密碼。

    [管理伺服器] 頁面隨即出現。

  3. 安裝該伺服器憑證。

    如需安裝憑證的詳細資訊,請參閱http://docs.sun.com中的 Web Server 或 Application Server 的產品文件。

  4. 變更至您的 Web Server 或 Application Server 中的 /alias 目錄。

  5. 將資料庫檔案從 /alias 目錄複製至 Instant Messaging 伺服器的 im-cfg-base 目錄。

    例如,在 Solaris 上:


    cp https-serverid-hostname-cert8.db /etc/opt/SUNWiim/default/config/cert8.db


    cp https-serverid-hostname-key3.db /etc/opt/SUNWiim/default/config/key3.db


    cp secmod.db /etc/opt/SUNWiim/default/config/secmod.db

    而在 Linux 上:


    cp https-serverid-hostname-cert8.db /etc/opt/sun/im/default/config/cert8.db


    cp https-serverid-hostname-key3.db /etc/opt/sun/im/default/config/key3.db


    cp secmod.db /etc/opt/sun/im/default/config/secmod.db
    備註 –

    您需要允許多重訊號處理器所使用的系統使用者擁有「讀取」cert7.db key3.dbsecmod.db 檔案的權限。此外,如果您已建立多個 Instant Messaging 實例,則 /default 目錄名稱會視實例而不同。

    如需 im-cfg-base 的預設位置,請參閱表 3–1

  6. 變更至您在多重訊號處理器主機上的 im-cfg-base

    如需找到 im-cfg-base 的資訊,請參閱Instant Messaging 伺服器目錄結構

  7. 使用您所選的文字編輯程式來建立名為 sslpassword.conf 的檔案。

  8. 將下列內容輸入 sslpassword.conf


    Internal (Software) Token:password

    其中 password 是當您建立信任資料庫時所指定的密碼。

  9. 儲存並關閉 sslpassword.conf

  10. 請確定所有 Instant Messenger 一般使用者都有對 sslpassword.conf 的「所有權」與「讀取」權限。

  11. 重新啟動多重訊號組合器。

  12. 驗證 SSL 是否運作正常。

    您可以幾種方式來這麼做,例如遵循呼叫 Instant Messenger 的安全版本中的步驟來執行。

  13. 以管理員身份登入 Web Server 或 Application Server。

  14. 移除您請求憑證時所建立的伺服器實例。

在多重訊號組合器與 Instant Messenger 間啟用舊有 SSL

您可藉由修改 iim.conf 中的參數,接著使用 Instant Messenger 用戶端安全版本連線至多重訊號組合器,為用戶端對多重訊號組合器的通訊啟用 SSL。

表 12–2 列出在 iim.conf 中用於在 Instant Messenger 與多重訊號組合器間啟用 SSL 的參數。其中也列出這些參數的說明與預設值。

表 12–2 Instant Messaging 多重訊號組合器 SSL 參數

參數 

預設值 

說明 

iim_mux.usessl

off

如果數值設定為 on,則在交換任何應用程式資料前,多重訊號組合器需要在每個它接受的連線中進行 SSL 訊號交換。

iim_mux.secconfigdir

Solaris:/etc/opt/SUNWiim/default/config

Linux:/etc/opt/sun/im/default/config

此目錄包含金鑰和憑證資料庫。它通常包含安全模組資料庫。此外,如果您已建立多個 Instant Messaging 實例,則 /default 目錄名稱會視實例而不同。如需詳細資訊,請參閱從單次 Instant Messaging 安裝中建立多個實例

iim_mux.keydbprefix

(空字串) 

此值應該包含金鑰資料庫檔名前置。金鑰資料庫檔名必須以 key3.db 結尾。

如果金鑰資料庫包含前綴,例如 This-Database-key3.db,則此參數的值為 This-Database

iim_mux.certdbprefix

(空字串) 

此值應該包含憑證資料庫檔名前置。憑證資料庫檔名必須以 cert7.db 結尾。

如果憑證資料庫包含前綴,例如 Secret-stuff-cert7.db,則此參數值為 Secret-stuff

iim_mux.secmodfile

secmod.db

此值應該包含安全模組檔案的名稱。 

iim_mux.certnickname

Multiplexor-Cert

此值應該包含您在安裝憑證時,您所輸入的憑證名稱。 

此憑證名稱區分大小寫。 

iim_mux.keystorepasswordfile

sslpassword.conf

此值應該包含含有金鑰資料庫密碼的相關路徑和檔案名稱。此檔案應該包含下列指令行: 

Internal (Software) Token:password

其中 password 是保護金鑰資料庫的密碼。

Procedure在 Instant Messenger 與多重訊號組合器間啟用 SSL

  1. 開啟 iim.conf

    如需找到並修改 iim.conf 的說明,請參閱iim.conf 檔案語法

  2. 表 12–2 中的值增加至 iim.conf 中的多重訊號組合器配置參數。

範例 12–2 iim.conf 中的舊有 SSL 多重訊號組合器配置

下列是含有多重訊號組合器配置參數的 iim.conf 檔案範例:


! IIM multiplexor configuration
! =============================
!
! Multiplexor specific options

! IP address and listening port for the multiplexor.
! WARNING: If this value is changed, the port value of ’-server’
! argument in the client’s im.html and im.jnlp files should 
! also be changed to match this.
iim_mux.listenport = "siroe.com:5222"

! The IM server and port the multiplexor talks to.
iim_mux.serverport = "siroe.com:45222"

! Number of instances of the multiplexor.
iim_mux.numinstances = "1"

! Maximum number of threads per instance
iim_mux.maxthreads = "10"

! Maximum number of concurrent connections per multiplexor process
iim_mux.maxsessions = "1000"

                         
iim_mux.usessl = "on"
iim_mux.secconfigdir = "/etc/opt/SUNWiim/default/config"
iim_mux.keydbprefix = "This-Database"
iim_mux.certdbprefix = "Secret-stuff"
iim_mux.secmodfile = "secmod.db"
iim_mux.certnickname = "Multiplexor_Cert"
iim_mux.keystorepasswordfile = "sslpassword.conf"