配置個人數位憑證認證
PDC 會由「憑證授權單位 (CA)」核發且使用 CA 的私人金鑰簽署。CA 在核發憑證前,會先驗證請求主體的身份。因此 PDC 的出現是一個具有權威的認證機制。
PDC 包含所有者的公開金鑰、所有者名稱、過期日期、核發數位憑證的「憑證授權單位」名稱、序號與一些其他資訊。
使用者可以使用 PDC 與已編碼的裝置,例如 Portal Server 中用於認證的智慧卡、與 Java 卡。已編碼裝置包含一個與儲存於卡中的 PDC 等效的電子文件。如果使用者使用其中一個機制登入,則不會顯示登入畫面,也不會顯示認證畫面。
-
使用者從瀏覽器中輸入連線請求,例如 https://my.sesta.com。
對這個請求的回應會視至 my.sesta.com 的閘道是否已配置為接受憑證而定。
備註 –當閘道配置為接受憑證時,將僅接受使用憑證的登入請求,不接受其他種類登入請求。
閘道會檢查憑證是否由已知的「憑證授權單位」核發,是否已過期與是否被竄改。若憑證有效,則閘道會讓使用者繼續執行驗證程序的下一步驟。
-
閘道會將此憑證傳遞到伺服器中 PDC 認證模組。
PDC 認證會處理相關的數個步驟:
配置 PDC 與編碼裝置
-
在 Portal Server 機器上的 /etc/opt/SUNWam/config/AMConfig.properties 檔案新增下列行:com.iplanet.authentication.modules.cert.gwAuthEnable=yes 。
-
將必要的憑證匯入要啟用 PDC 的閘道的憑證資料庫。要配置憑證,請參閱在閘道機器上匯入根 CA 憑證
-
以管理員身份登入 Access Manager 管理主控台,並依照下列步驟執行:
-
從 Access Manager 管理主控台中,依照下列步驟執行:
-
從 Access Manager 管理主控台中,依照下列步驟執行:
-
選擇必要的組織,然後從 [檢視] 下拉式功能表選取 [服務]。
會顯示服務清單。
-
按一下 [認證配置] 核心服務旁的箭頭,並按一下 [新增]。
顯示 [新建服務實例] 頁面。
-
輸入服務實例名稱 gatewaypdc。
-
按一下 [提交]。
顯示 [gatewaypdc 服務實例清單]。
-
按一下 gatewaypdc 以編輯服務。
會顯示 gatewaypdc 顯示特性頁面。
-
按一下 [認證模組] 旁的 [編輯] 連結,然後按一下 [新增]。
隨即顯示 [新增模組] 頁。
-
在 [模組名稱] 欄位選擇 [憑證],而在 [實施條件] 欄位中選擇 [必要的],然後按一下 [確定]。
-
按一下 [確定] 完成。
-
-
從 Access Manager 管理主控台中,依照下列步驟執行:
-
以管理員身份登入 Portal Server 管理主控台,並依照下列步驟執行:
-
從終端機視窗重新啟動閘道設定檔:
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
-
將 CA 所發出的用戶端憑證安裝至必須存取已啟用 PDC 的閘道的瀏覽器。
-
安裝用戶端憑證至 JVM 金鑰庫。可如下所示,從 windows 機器的 [開始] > [設定] > [控制台] > [Java] 來存取 JVM 控制面板。
新增下列內容至 Applet 執行階段參數:
-
Djavax.net.ssl.keyStore=Path to Keystore
-
Djavax.net.ssl.keyStorePassword=password
-
Djavax.net.ssl.keyStoreType=type
-
-
存取您的閘道設定檔和機構:
https://gateway:instance-port/YourOrganization
您應該能夠登入而不會出現任何提示要求您輸入認證名稱的使用者名稱和密碼。
在閘道機器上匯入根 CA 憑證
-
在閘道機器上匯入根 CA 憑證。
-
<Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
會列出 Certadmin 功能表。
-
選取選項 3。輸入憑證的路徑。
如需詳細資訊,請參閱第 10 章, 使用憑證。
-
-
產生「憑證簽署要求」以提交至 CA。
-
提交「憑證簽署要求」至 CA,並取得核准。在 CA 簽署後,儲存憑證回應。
-
在取得 CA 核准後,匯入「伺服器憑證」。
-
在 Portal Server 機器上匯入根 CA 憑證。
- © 2010, Oracle Corporation and/or its affiliates