test

Sun Java System Portal Server Secure Remote Access 7.2 管理指南

配置个人数字证书验证

PDC 由“认证机构”(CA) 发放,并使用该认证机构的私有密钥签名。颁发证书之前,CA 将对请求主体的身份进行验证。因此,PDC 的出现提供了一种功能强大的验证机制。

PDC 含有所有者的公共密钥、所有者名称、到期日期、发放“数字证书”的认证机构名称、序列号以及可能包含的其他信息。

用户可以将 PDC 和编码设备(如 Smart 卡和 Java 卡)用于 Portal Server 中的验证。编码设备与卡中存储的 PDC 具有等效的电子效力。如果用户使用上述任一机制登录,将不会显示登录屏幕和验证屏幕。

    PDC 验证过程涉及以下步骤:

  1. 用户在浏览器中键入一个连接请求,例如 https://my.sesta.com

    对此请求的响应取决于到 my.sesta.com 的网关是否已经配置为接受证书。

    注 –

    当网关被配置成接受证书时,它仅接受以证书方式进行的登录,而拒绝其他所有类型的登录。

    网关检查证书是否由已知的“认证机构”发放,是否尚未过期,以及是否未经篡改。如果证书有效,网关将允许用户进入验证过程的下一步。

  2. 网关将证书传递给服务器中的 PDC 验证模块。

Procedure配置 PDC 和编码设备

  1. 将以下行添加到 Portal Server 机器的 /etc/opt/SUNWam/config/AMConfig.properties 文件中:com.iplanet.authentication.modules.cert.gwAuthEnable=yes

  2. 将“必要的证书”导入希望启用 PDC 的网关的证书数据库。要配置证书,参见在网关机器上导入根 CA 证书

  3. 以管理员身份登录到 Access Manager 管理控制台,然后执行以下操作:

    1. 选择“身份管理”选项卡,然后选择一个“组织”。

    2. 从“视图”下拉式菜单中单击组织的“服务”。

    3. 单击“添加”注册证书。

  4. 从 Access Manager 管理控制台,执行以下操作:

    1. 选择所需的组织,然后单击“证书”旁边的箭头。

    2. 在“信任的远程主机”列表框中,突出显示“无”,然后单击“删除”。

    3. 在文本字段中输入任何内容,然后单击“添加”。

    4. 单击“保存”。

  5. 从 Access Manager 管理控制台,执行以下操作:

    1. 选择所需的组织,然后从“视图”下拉式菜单中选择“服务”。

      将显示服务列表。

    2. 单击“验证配置”核心服务旁边的箭头,然后单击“新建”。

      将显示“新建服务实例”页面。

    3. 输入服务实例名称 gatewaypdc

    4. 单击“提交”。

      将显示 gatewaypdc“服务实例列表”。

    5. 单击 gatewaypdc 编辑服务。

      将显示 gatewaypdc 显示属性页。

    6. 单击“验证配置”旁边的“编辑”链接,然后单击“添加”。

      将显示“添加模块”页面。

    7. 从“模块名称”字段中选择“证书”并选择“必需”作为执行标准,然后单击“确定”。

    8. 单击“确定”完成操作。

  6. 从 Access Manager 管理控制台,执行以下操作:

    1. 单击“核心”旁的箭头。

    2. 在“组织验证”模块列表框中,选择 gatewaypdc。

    3. 从“用户配置文件”下拉式菜单中选择“动态”。

    4. 单击“保存”以完成修改。

  7. 以管理员身份登录到 Portal Server 管理控制台,然后执行以下操作:

    1. 选择“Secure Remote Access”选项卡,然后选择相应的网关配置文件。

    2. 选择“安全”选项卡。

    3. 在“已启用证书的网关主机”列表框中,添加网关名称。

    4. 单击“保存”。

  8. 从终端窗口中重新启动网关配置文件:

    ./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

  9. 将 CA 签发的客户机证书安装到必须访问启用了 PDC 网关的浏览器。

  10. 将客户机证书安装到 JVM 密钥库中。可通过如下所示的方式:从 Windows 机器的“开始”>“设置”>“控制面板”>“Java”来访问 JVM 控制面板。

    将以下内容添加到 Applet 运行时参数:

    • Djavax.net.ssl.keyStore=Path to Keystore

    • Djavax.net.ssl.keyStorePassword=password

    • Djavax.net.ssl.keyStoreType=type

  11. 访问您的网关配置文件和组织:

    https://gateway:instance-port/YourOrganization

    如果没有提示您输入用户名和密码,则应该使用证书名称登录。

Procedure在网关机器上导入根 CA 证书

  1. 在网关机器上导入根 CA 证书。

    1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      此时会列出 Certadmin 菜单。

    2. 选择选项 3。输入证书的路径。

    有关详细信息,参见第 10 章,使用证书

  2. 生成一个“证书签名请求”以提交到 CA。

    1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      此时会列出 Certadmin 菜单。

    2. 选择选项 2。输入相应的信息。

    3. 保存该文件。

  3. 将“证书签名请求”提交到 CA 并使其获得批准。在 CA 签名后保存证书响应。

  4. 在获得 CA 批准后导入“服务器证书”。

    1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>

      此时会列出 Certadmin 菜单。

    2. 选择选项 4。

    3. 指定包含“服务器证书”的文件的位置。

  5. 在 Portal Server 机器上导入根 CA 证书。