Sun Java System Directory Server Enterprise Edition 6.1 管理指南

Procedure请求目录代理服务器的 CA 签名证书

自签名证书对于测试非常有用。但是在生产环境中,使用可信证书颁发机构 (Certificate Authority, CA) 颁发的证书会更加安全。

您可以使用 DSCC 执行此任务。有关信息,请参见目录服务控制中心界面和 DSCC 联机帮助。

  1. 请求 CA 签名的服务器证书。


    $ dpadm request-cert instance-path cert-alias
    

    其中 cert-alias 是要请求的证书的名称。证书颁发机构可能需要该命令的所有选项以识别服务器。有关所有命令选项的描述,请参见 dpadm(1M) 手册页。

    获取 CA 证书的过程取决于所使用的 CA。某些商业 CA 提供了允许您下载证书的 Web 站点。其他 CA 会以电子邮件的方式将证书发送给您。

    例如,可以请求一个名为 my-CA-signed-cert 的证书,如下所示:


    $ dpadm request-cert -S cn=my-request,o=test /local/dps my-CA-signed-cert
    -----BEGIN NEW CERTIFICATE REQUEST-----
    MIIBYDCBygIBADAhMQ0wCwYDVQQDEwRnZXJpMRAwDgYDVQQDEwdteWNlcnQ0MIGfMA0GCSqGSIb3
    DQEBAQUAA4GNADCBiQKBgQC3v9ubG468wnjBDAMbRrEkmFDTQzT+LO30D/ALLXOiElVsHrtRyWhJ
    PG9cURI9uwqs15crxCpJvho1kt3SB9+yMB8Ql+CKnCQDHlNAfnn30MjFHShv/sAuEygFsN+Ekci5
    W1jySYE2rzE0qKVxWLSILFo1UFRVRsUnORTX/Nas7QIDAQABoAAwDQYJKoZIhvcNAQEEBQADgYEA
    fcQMnZNLpPobiX1xy1ROefPOhksVz8didY8Q2fjjaHG5lajMsqOROzubsuQ9Xh4ohT8kIA6xcBNZ
    g8FRNIRAHCtDXKOdOm3CpJ8da+YGI/ttSawIeNAKU1DApF9zMb7c2lS4yEfWmreoQdXIC9YeKtF6
    zwbn2EmIpjHzETtS5Nk=
    -----END NEW CERTIFICATE REQUEST-----

    使用 dpadm request-cert 命令请求证书时,此证书请求是保密性增强的电子邮件 (Privacy Enhanced Mail, PEM) 格式的 PKCS #10 证书请求。 PEM 是由 RFC 1421 至 1424 指定的格式。有关详细信息,请参见 http://www.ietf.org/rfc/rfc1421.txt。PEM 格式表示 ASCII 格式的 base64 编码的证书请求。

    请求 CA 签名的证书时,将创建一个临时的自签名证书。收到并安装来自 CA 的 CA 签名证书时,新证书将取代临时的自签名证书。

  2. 按照程序将证书请求发送给 CA。

    发送请求之后,您必须等待 CA 对请求做出响应,即提供您的证书。请求的响应时间会有所不同。例如,如果 CA 在您的公司内部,则响应时间可能很短。但是,如果 CA 在公司外部,则 CA 可能需要几个星期才能响应您的请求。

  3. 保存从 CA 收到的证书。

    以文本文件的形式保存证书,并将此证书备份到安全位置。