選擇加密密碼

密碼是用於加密與解密資料的演算法。一般而言，密碼在加密期間所使用的位元數越多，加密就越嚴密或安全。SSL 的密碼也可經由使用的訊息認證類型來識別。訊息認證也是一種演算法，可計算能夠確保資料完整性的總和檢查。

當用戶端初始化與伺服器的 SSL 連線時，用戶端與伺服器必須協議出用以加密資訊的密碼。在任何雙向加密程序中，雙方都必須使用相同的密碼。所使用的密碼取決於伺服器所保存之密碼清單目前的順序。伺服器會選擇用戶端所呈現的密碼中，第一個符合其清單中之密碼的密碼。目錄伺服器的預設密碼值為 all，代表基礎 SSL 程式庫所支援的所有已知安全密碼。但您也可以修改此值，而僅接受特定密碼。

如需有關目錄伺服器可用之密碼的更多資訊，請參閱「Sun Java System Directory Server Enterprise Edition 6.2 Reference」。

選擇加密密碼

您可以使用 DSCC 執行此作業。如需相關資訊，請參閱目錄服務控制中心介面與 DSCC 線上說明。

1. 請確定您的伺服器已啟用 SSL。

   請參閱配置 SSL 通訊。

2. 檢視可用的 SSL 密碼。

   $ dsconf get-server-prop -h host -p port ssl-supported-ciphers ssl-supported-ciphers : TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_DHE_RSA_WITH_AES_256_CBC_SHA ssl-supported-ciphers : TLS_DHE_DSS_WITH_AES_256_CBC_SHA ...

3. (可選擇) 若要保有非加密資料的副本，請在設定 SSL 密碼前先匯出資料。

   請參閱匯出至 LDIF。

4. 設定 SSL 密碼。

   $ dsconf set-server-prop -h host -p port ssl-cipher-family:cipher

   例如，若要將密碼系列設為 SSL_RSA_WITH_RC4_128_MD5 與 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA，請鍵入：

   $ dsconf set-server-prop -h host1 -P 1636 ssl-cipher-family:SSL_RSA_WITH_RC4_128_MD5 \ ssl-cipher-family:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA Enter "cn=Directory Manager" password: Before setting SSL configuration, export Directory Server data. Do you want to continue [y/n] ? y Directory Server must be restarted for changes to take effect.

5. (可選擇) 將 SSL 密碼增加至現有清單。

   如果已指定密碼清單，且需要增加密碼，請使用此指令：

   $ dsconf set-server-prop -h host -p port ssl-cipher-family+:cipher

   例如，若要增加 SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA 密碼，請輸入：

   $ dsconf set-server-prop -h host1 -P 1636 \ ssl-cipher-family+:SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

6. 重新啟動伺服器，使變更生效。

   $ dsadm restart /local/ds