Sun Java System Portal Server Secure Remote Access 7.2 管理指南

第 2 部分配置 Secure Remote Access 伺服器

可使用 Portal Server 管理主控台 [Secure Remote Access] 標籤下可用的選項，來設定大部分屬性。任何新建立的組織或使用者會依預設繼承這些值。

您可以在組織層級、角色層級與使用者層級中，配置與 Secure Remote Access 相關的屬性，以下情況除外：

無法在使用者層級設定 [衝突解決層級]。請參閱設定衝突解決。
[MIME 類型配置檔案位置] 屬性只可以在組織層級中設定。

在組織層級設定的值，會由其下所有的角色與使用者繼承。在使用者層級設定的值會覆寫在組織或角色層級設定的值。

您可以在「服務配置」層級變更屬性值。這些新值僅會在新增新組織時有所體現。

本部分包含下列章節：

第 7 章配置 Secure Remote Access 伺服器存取控制

本章說明如何透過 Sun Java System Portal Server 管理主控台允許或拒絕使用者存取。

配置存取控制

您可使用此欄位指定一般使用者無法透過閘道存取的 URL 清單。閘道會在檢查「允許的 URL」清單之前檢查「遭拒的 URL」清單。

您可以指定可由一般使用者透過閘道存取的所有 URL。依預設，此清單有萬用字元項目 (*)，表示可以存取所有 URL。若您希望允許存取所有 URL，而僅對特定 URL 限制存取，請將限制的 URL 新增至「遭拒的 URL」清單中。如果您希望僅允許存取特定 URL，請將「遭拒的 URL」清單保留空白，並在「允許的 URL」清單中指定需要的 URL，方法與上述相同。

SRA 軟體中的 [存取控制] 服務允許您控制多個主機的單次登入功能。為使得單次登入功能可用，[啟用 HTTP 基本驗證] 選項必須於閘道服務中啟用。

使用 [存取控制] 服務，您可以停用某些主機的單次登入功能。這表示一般使用者每次連接至需要 HTTP 基本認證的主機時，都會需要認證，除非您啟用 [每個階段作業中的單次登入] 功能。

如果已停用了某個主機的單次登入功能，使用者則可以在單一 Portal Server 階段作業內重新連接至該主機。例如，假設您已停用對 abc.sesta.com 的單次登入。使用者第一次連接至該網站時，需要認證。使用者可以瀏覽其他網頁並在稍後返回此網頁，如果該網頁是處在相同的 Portal Server 階段作業中，則不需要認證。

配置存取控制

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤。

選取 [存取控制] 標籤。

修改下列屬性：

屬性名稱	描述
COS 優先順序	指定要用來決定屬性值繼承的值。如需有關此屬性的詳細資訊，請參閱「Sun Java System Directory Server 管理指南」。
每個階段作業中的單次登入	選取 [啟用] 核取方塊來啟用單次登入階段作業。
停用單次登入的主機	以 `abc.siroe.com` 的格式輸入主機名稱。
允許的認證層級	輸入允許的認證層級。使用星號以允許所有的層級。預設值是星號。
允許/拒絕存取 URL	在 URL 欄位內輸入允許或拒絕透過閘道存取的 URL。輸入的 URL 格式為：`http://abc.siroe.com`。請在 [動作] 下拉式清單中，按一下適當的 [允許] 或 [拒絕] 選項。您也可以使用常規表示式，如 `http://.siroe.com`。在這個情況下，會拒絕使用者存取 `siroe.com` 網域中的所有主機。閘道會在檢查允許的 URL 清單之前先檢查拒絕存取的 URL。備註 –* [允許的 URL] 欄位預設中有 *，表示可以透過閘道存取所有的 URL。

備註 –

當您安裝 SRA 時，依預設並非所有使用者都可使用 [存取控制] 服務。僅有在安裝時依預設建立的 amadmin 使用者才可使用此服務。其他使用者在沒有此服務的情況下，無法透過閘道存取桌面。以 amadmin 的身份登入，並指定此服務給所有的使用者。

按一下 [儲存] 完成作業。

第 8 章配置 Secure Remote Access 閘道

本章說明如何透過 Sun Java System Portal Server 管理主控台配置閘道屬性。

本章包含下列章節：

在您開始前

要建立閘道設定檔，請參閱建立閘道設定檔

配置設定檔核心選項

本節說明下列作業：

配置啟動模式

若您在安裝期間選擇以 HTTPS 模式執行閘道，則在安裝後閘道會以 HTTPS 模式執行。在 HTTPS 模式中，閘道會接受來自瀏覽器的 SSL 連線並拒絕非 SSL 連線。然而，您也可以配置以 HTTP 模式執行閘道。如此將可加速閘道的效能，因為它與管理 SSL 階段作業、加密與解密 SSL 通訊流量的耗用時間並無關。

配置啟動模式

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [核心] 標籤。

修改下列屬性：

HTTP 連線

選取 [HTTP 連線] 核取方塊，以允許閘道接受非 SSL 的連線。

HTTP 連接埠

輸入 HTTP 連接埠號碼。預設值為 80。

HTTPS 連線

選取 [HTTPS 連線] 核取方塊，以允許閘道接受 SSL 連線。根據預設，會選取此選項。

HTTPS 連接埠

輸入 HTTPS 連接埠號碼。預設值為 443。

備註 –
可使用「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」

/space/PS/portal/bin/psadmin set-attribute -u amadmin -f /space/PS/portal/bin/ps_password -p portal1 -m gateway --gateway-profile profileID -a sunPortalGatewayDomainsAndRulesets -A $entry
- sunPortalGatewayDefaultDomainAndSubdomains=Default Domains
- sunPortalGatewayLoggingEnabled=Enable Logging
- sunPortalGatewayEProxyPerSessionLogging=Enable per Session Logging
- sunPortalGatewayEProxyDetailedPerSessionLogging=Enable Detailed per Session Logging
- sunPortalGatewayNetletLoggingEnabled=Enable Netlet Logging
- sunPortalGatewayEnableMIMEGuessing=Enable MIME Guessing
- sunPortalGatewayParserToURIMap=Parser to URI Mappings
- sunPortalGatewayEnableObfuscation=Enable Masking
- sunPortalGatewayObfuscationSecretKey=Seed String for Masking
- sunPortalGatewayNotToObscureURIList=URIs not to Mask
- sunPortalGatewayUseConsistentProtocolForGateway=Make Gateway protocol Same as Original URI Protocol
- sunPortalGatewayEnableCookieManager=Store External Server Cookies
- sunPortalGatewayMarkCookiesSecure=Mark Cookies as secure

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

配置核心元件

Netlet 會讓使用者在不安全的網路上 (如網際網路) 安全執行共用 TCP/IP 服務。您可執行 TCP/IP 應用程式 (如 Telnet 和 SMTP)、HTTP 應用程式以及任何使用固定連接埠的應用程式。若已啟用 Netlet，閘道需要確定外來的通訊是 Portal Server 通訊還是 Netlet 通訊。停用 Netlet 則會減少這種耗用時間，因為閘道會假設所有外來的通訊是 HTTP 或 HTTPS 通訊。只有在確定不希望透過 Portal Server 使用任何應用程式時，才停用 Netlet。

配置元件

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [核心] 標籤。

修改下列屬性：

屬性名稱	描述
Netlet	選取 [啟用] 核取方塊以啟動 Netlet 服務。根據預設，會選取此選項。
Proxylet	選取 [啟用] 核取方塊以啟動 Proxylet 服務。根據預設，會選取此選項。

使用下列指令選項，從終端機視窗重新啟動閘道：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

配置基本選項

關於 Cookie 管理屬性

許多網頁使用 Cookie 追蹤與管理使用者階段作業。閘道路由請求至在 HTTP 標題設定 Cookie 的網站時，閘道會以下列方法捨棄或傳遞那些 Cookie：

若未在閘道服務中選取 [啟用 Cookie 管理] 屬性，則不會重新寫入 Cookie。如此，瀏覽器中的 Cookie 可能不會到達企業內部網路主機，反之亦然。
若在閘道服務中選取 [啟用 Cookie 管理] 屬性，則會重新寫入 Cookie。閘道會確保瀏覽器的 Cookie 會到達想要的企業內部網路主機，反之亦然。

此設定不會套用至 Portal Server 用來追蹤 Portal Server 使用者階段作業的 Cookie。此設定由 [轉寄使用者階段作業 Cookie 到的使用者階段作業] 的 URL 選項配置所控制。

這個設定適用於所有允許使用者存取的網站 (也就是，您不可以選擇捨棄某些網站的 Cookie，而保留其他網站的 Cookie)。

備註 –

請勿將 URL 從 [Cookie 網域] 清單中移除，即使是在沒有 Cookie 的閘道中。有關 [Cookie 網域] 清單的資訊，請參閱「Access Manager 管理指南」。

關於 HTTP 基本認證屬性

HTTP 基本驗證可以設定於閘道服務中。

可以使用 HTTP 基本驗證保護網頁，造訪者需要在檢視網站前輸入使用者名稱與密碼 (HTTP 回應代碼為 401 與 WWW-authenticate: BASIC)。Portal Server 可儲存使用者名稱及密碼，以便使用者在重新造訪受 BASIC 保護的網站時，不必重新輸入他們的憑證。這些憑證儲存於目錄伺服器的使用者設定檔中。

此設定不會確定使用者是否可造訪 BASIC 保護的網站，但只會確定是否將使用者輸入的憑證儲存於使用者設定檔。

這個設定適用於所有允許使用者存取的網站 (也就是，不可以某些網站啟用 HTTP 基本授權快取而其他網站停用)。

備註 –

如果 Microsoft Internet Information Server (IIS) 由 Windows NT 挑戰/回應 (HTTP 回應代碼 401，WWW-Authenticate: NTLM) 而非基本驗證進行保護，不支援瀏覽其提供的 URL。

您也可以使用管理主控台中的 [存取控制] 服務啟用單次登入。

關於 Portal Server 屬性

你可以為閘道配置多個 Portal Server 以服務請求。安裝閘道時，您應該已經指定與閘道合作的 Portal Server。依預設，這個 Portal Server 會列示在 Portal Server 欄位中。您可以將更多 Portal Server 以 http://portal- server-name:port number 格式新增至清單中。閘道會以循環方式嘗試連絡每個列出的 Portal Server 以服務請求。

關於 [將使用者階段作業 Cookie 轉寄至的 URL] 屬性

Portal Server 利用 Cookie 追蹤使用者階段作業。當閘道發出 HTTP 請求至伺服器時 (例如，當呼叫桌面 servlet 以產生使用者桌面頁面時)，將轉寄此 cookie 至伺服器。伺服器上的應用程式會使用 cookie 以認證並識別使用者。

Portal Server 的 cookie 不會轉寄至發給伺服器之外其他機器的 HTTP 請求中，除非那些機器上的 URL 已指定於 [將使用者階段作業 Cookie 轉寄至的 URL ] 清單中。因此將 URL 新增至此清單，可使 servlet 與 CGI 能夠接收 Portal Server 的 cookie 並使用 API 識別此使用者。

使用隱式尾隨萬用字元可與 URL 相符。例如，清單中的預設輸入值：

http://server:8080

將導致 Cookie 轉寄至所有以 http://server:8080 開頭的 URL。

新增：

http://newmachine.eng.siroe.com/subdir

將導致 Cookie 轉寄至所有以該實際字串開始的 URL。

在此例中，Cookie 不會轉寄至任何以 "http://newmachine.eng/subdir" 開始的 URL，因為這個字串不是以轉寄清單中的實際字串開頭。要使 Cookie 轉寄至以這個機器名稱變體開始的 URL，必須新增項目至轉寄清單。

同樣的，Cookie 也不會轉寄至以 "https://newmachine.eng.siroe.com/subdir" 開始的 URL，除非已將適當的項目新增至清單中。

關於 [從 URL 取得階段作業] 屬性

選取 [從 URL 取得階段作業] 選項時，階段作業資訊會編碼為 URL 的部分，不論支援 Cookie 與否。這表示閘道會驗證在 URL 中找到的階段作業資訊，而非從用戶端瀏覽器傳送的階段作業 Cookie。

配置基本選項

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [核心] 標籤。

修改下列屬性：

屬性名稱	描述
Cookie 管理	選取 [啟用] 核取方塊以啟用 Cookie 管理。根據預設，會選取此選項。
HTTP 基本認證	選取 [啟用 HTTP 基本驗證] 核取方塊以啟用 HTTP 基本驗證。
Portal Server	在欄位以 `http://portal-server-name:port-number` 格式輸入 Portal Server，並按一下 [新增]。重複此步驟可新增更多 Portal Server 至 Portal Server 清單。
將使用者階段作業 Cookie 轉寄至的 URL	輸入 [將使用者階段作業 Cookie 轉寄至的 URL] 並按一下 [新增]。重複此步驟以新增更多 URL 至 [將使用者階段作業 Cookie 轉寄至的 URL] 清單。
閘道最低認證層級	輸入認證層級。根據預設，會新增星號以允許各種層級的認證。
從 URL 取得階段作業	選取 [是] 可以從 URL 擷取有關階段作業的資訊。根據預設，會選取 [否] 選項。

配置部署選項

配置代理伺服器設定

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [部署] 標籤。

修改下列屬性：

屬性名稱

描述

使用代理伺服器

選取 [使用代理伺服器] 核取方塊來啟用 Web 代理伺服器。

Web 代理伺服器 URL

在 [使用 Web 代理伺服器 URL] 編輯方塊中，以 http://host name.subdomain.com 格式輸入需要的 URL，然後按一下 [新增]。

URL 會新增至 [使用Web 代理伺服器 URL] 清單。

您可以指定閘道僅能透過列於 [網域與子網域的代理伺服器清單] 中的 Web 代理伺服器連絡特定 URL，即使已停用 [使用代理伺服器] 選項。您需要在 [使用網路代理伺服器 URL] 欄位中指定這些 URL。有關此值如何影響代理伺服器使用情形的詳細資訊，請參閱指定代理伺服器以連絡 Access Manager。

網域與子網域的代理伺服器

此項目已新增至 [網域與子網域的代理伺服器] 清單方塊中。

輸入代理伺服器資訊的格式如下：

domainname proxy1:port1|subdomain1 proxy2:port2|subdomain2 proxy3:port3|* proxy4:port4

* 表示 * 之後定義的代理伺服器會用於所有網域與子網域 (如果沒有特別說明)。

若您沒有指定代理伺服器連接埠，將依預設使用連接埠 8080。

有關如何將代理伺服器資訊套用至不同主機的詳細資訊，請參閱指定代理伺服器以連絡 Access Manager。

代理伺服器密碼清單

在 [代理伺服器密碼清單] 欄位中，輸入每個代理伺服器的資訊，然後按一下 [新增]。

輸入代理伺服器資訊的格式如下：

proxyserver|username|password

proxyserver 對應至定義於 [網域與子網域代理伺服器清單] 的代理伺服器。

當代理伺服器需要認證以存取部分或所有網站時，您需要指定需要的使用者名稱及密碼，以便閘道驗證至指定的代理伺服器。

自動代理伺服器配置支援

選取 [啟用自動代理伺服器配置支援] 核取方塊以啟用 PAC 支援。

若您選取 [啟用自動代理伺服器配置支援] 選項，則會忽略在 [網域與子網域代理伺服器] 欄位中提供的資訊。閘道將「自動代理伺服器配置 (PAC)」檔案只用於企業內部網路配置。有關 PAC 檔案的資訊，請參閱使用自動代理伺服器配置。

自動代理伺服器配置檔案位置

在 [位置] 欄位中，輸入 PAC 檔案的名稱與位置。

配置 Rewriter 代理伺服器與 Netlet 代理伺服器

關於 NetLet 代理伺服器

藉由延伸用戶端透過閘道到存在於企業內部網路的 Netlet 代理伺服器的安全通道，Netlet 代理伺服器會強化閘道和企業內部網路之間 Netlet 通訊流量的安全性。若已啟用 Netlet 代理伺服器，則 Netlet 封包會由代理 Netlet 代理伺服器解密，之後會傳送至目標伺服器。這將減少需要在防火牆中開啟的連接埠數目。

關於 Rewriter 代理伺服器

Rewriter 代理伺服器可啟用閘道與企業內部網路之間的安全 HTTP 通訊。如果您沒有指定 Rewriter 代理伺服器，當使用者嘗試存取企業內部網路的機器，閘道元件會直接連線至企業內部網路。在安裝之後不會自動執行 Rewriter 代理伺服器。您必須依下列所述啟用 Rewriter 代理伺服器。

配置 Rewriter 代理伺服器與 Netlet 代理伺服器

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

備註 –
請確定 Rewriter 代理伺服器與閘道使用相同的閘道設定檔。

選取 [部署] 標籤。

修改下列屬性：

屬性名稱	描述
Rewriter 代理伺服器	選取 [Rewriter 代理伺服器] 核取方塊，以啟用 Rewriter 代理伺服器服務。
Rewriter 代理伺服器清單	在 [Rewriter 代理伺服器] 編輯方塊中以 `hostname:port` 格式輸入主機與連接埠。提示 – 要確定想要的連接埠是否可用或未使用，請在指令行中輸入： `netstat -a \| grep` `port-number` `\| wc -l` `port-number` 是想要使用的連接埠。按一下 [新增]。
Netlet 代理伺服器	選取 [啟用 Netlet 代理伺服器] 核取方塊以啟用 Netlet 代理伺服器服務。
Netlet 代理伺服器主機	在 [Netlet 代理伺服器主機] 欄位中以 `hostname:port` 格式輸入 Netlet 代理伺服器主機與連接埠。提示 – 要確定想要的連接埠是否可用或未使用，請在指令行中輸入： `netstat -a \| grep` `port-number` `\| wc -l` `port-number` 是想要使用的連接埠。按一下 [新增]。
透過 Web 代理伺服器的 Netlet 通道	選取 [透過 Web 代理伺服器啟用 Netlet 通道] 核取方塊來啟用通道。

在伺服器上執行 portal-server-install-root/SUNWportal/bin/certadmin 以建立 Rewriter 代理伺服器的認證。

若您在安裝 Rewriter 代理伺服器時未選擇建立認證，則必須執行這個步驟。

以超級使用者身份登入安裝 Rewriter 代理伺服器的機器並啟動 Rewriter 代理伺服器：
rewriter-proxy-install-root/SUNWportal/bin/rwproxyd -n gateway-profile-name start

以超級使用者身份登入安裝閘道的機器並重新啟動閘道：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

配置安全性選項

配置 PDC 與非認證 URL

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [安全性] 標籤。

修改下列屬性：

屬性名稱	描述
啟用憑證的閘道主機	新增閘道名稱至啟用憑證的閘道主機清單。以 `host1.sesta.com` 格式新增閘道。按一下 [新增]。
未認證的 URL	您可以指定某些 URL 不需要認證。這些一般是包括影像的目錄。在 [未驗證的 URL] 欄位中以 `folder/subfolder` 格式輸入想要的資料夾路徑。鍵入的非完全合格的 URL (例如，/images) 會視為入口網站 URL。要新增非入口網站的 URL，請完全限定 URL，並按一下 [新增] 以將此項目新增至 [未驗證的 URL] 清單。
可信任的 SSL 網域	在 [可信任的 SSL 網域] 欄位中，輸入網域名稱並按一下 [新增]。

屬性名稱

描述

啟用憑證的閘道主機

新增閘道名稱至啟用憑證的閘道主機清單。

以 host1.sesta.com 格式新增閘道。
按一下 [新增]。

未認證的 URL

您可以指定某些 URL 不需要認證。這些一般是包括影像的目錄。

在 [未驗證的 URL] 欄位中以 folder/subfolder 格式輸入想要的資料夾路徑。

鍵入的非完全合格的 URL (例如，/images) 會視為入口網站 URL。

要新增非入口網站的 URL，請完全限定 URL，並按一下 [新增] 以將此項目新增至 [未驗證的 URL] 清單。

可信任的 SSL 網域

在 [可信任的 SSL 網域] 欄位中，輸入網域名稱並按一下 [新增]。

配置 TLS 與 SSL 選項

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [安全性] 標籤。

修改下列屬性：

屬性名稱	描述
40 位元加密	若想要允許 40 位元 (弱) 安全套接層 (SSL) 連線，則選取這個選項。如果您沒有選取這個選項，則只支援 128 位元的連線。若您停用這個選項，則使用者必須確定瀏覽器的配置支援必要的連線類型。備註 – 若為 Netscape Navigator 4.7x 使用者必須執行下列作業：在 Communicator 功能表中 [工具] 之下選取 [安全資訊]。在左窗格中按一下 [助手] 連結。在 [進階安全性 (SSL) 配置] 之下按一下 [配置 SSL v2] 或 [配置 SSL v3]。啟用必要的密碼。
不加密	選取 [啟用空加密] 核取方塊以啟用空加密。
SSL 加密選項	Secure Remote Access 支援許多標準加密法。您可以選擇支援所有預先封裝的密碼，或單獨選擇想要的密碼。您可以為每個閘道實例選擇特定的 SSL 密碼。若用戶端網站存在任何已選取的密碼，則會成功進入 SSL 訊號交換模式。
SSL 2.0 版	選取 [啟用 SSL 2.0 版] 核取方塊，以啟用 2.0 版。預設會啟用此選項。您可以啟用或停用 SSL 2.0 版。停用 SSL 2.0 表示只支援舊版 SSL 2.0 的瀏覽器將不能認證至 Secure Remote Access。這可確保較大的安全層級。
SSL2 加密	選取 [啟用 SSL 加密選項] 核取方塊選項。您可從 SSL 加密法清單，選取想要的加密法。
SSL 3.0 版	您可以啟用或停用 SSL 3.0 版。停用 SSL 3.0 表示只支援 SSL 3.0 的瀏覽器將不能認證至 SRA 軟體。這可確保較大的安全層級。選取 [啟用 SSL 3.0 版] 核取方塊以啟用 3.0 版。
SSL3 加密	選取 [啟用 SSL 加密選項] 核取方塊選項。您從 SSL3 加密法清單選取想要的加密法。
TLS 加密	選取 [啟用 SSL 加密選項] 核取方塊選項。您可從 TLS 加密法清單選取想要的加密法。

配置效能選項

配置逾時與重試

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [效能] 標籤。

修改下列屬性：

屬性名稱	描述
伺服器重試間隔 (秒)	指定若 Portal Server、Rewriter 代理伺服器或 Netlet 代理伺服器變得無法存取 (例如當機或關機) 時，嘗試啟動它們之請求的時間間隔 (單位為秒)。
閘道逾時 (秒)	指定閘道與瀏覽器的連線逾時時間，以秒為單位。在 [閘道逾時] 欄位中，以秒為單位指定想要的間隔。
快取的通訊端逾時 (秒)	指定閘道與入口網站伺服器的連線逾時時間，以秒為單位。

屬性名稱

描述

伺服器重試間隔 (秒)

指定若 Portal Server、Rewriter 代理伺服器或 Netlet 代理伺服器變得無法存取 (例如當機或關機) 時，嘗試啟動它們之請求的時間間隔 (單位為秒)。

閘道逾時 (秒)

指定閘道與瀏覽器的連線逾時時間，以秒為單位。

在 [閘道逾時] 欄位中，以秒為單位指定想要的間隔。

快取的通訊端逾時 (秒)

指定閘道與入口網站伺服器的連線逾時時間，以秒為單位。

配置 HTTP 選項

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [效能] 標籤。

修改下列屬性：

屬性名稱	描述
最大執行緒儲存區大小	指定想要的執行緒數。您可指定可於閘道執行緒池內預先建立的執行緒的最大數。
持續 HTTP 連線	選取 [啟用持續 HTTP 連線] 核取方塊以啟用 HTTP 連線。您可以在閘道啟用 HTTP 永久性連線，以避免為網頁中的每個物件 (例如影像與樣式表) 都開啟通訊端。
每一持續連線的最大請求數	輸入最大請求數。
持續通訊端連線的逾時 (秒)	輸入想要的逾時時間，以秒為單位。
帳號往返時間的寬限逾時 (秒)	輸入想要的寬限逾時時間，以秒為單位。這是用戶端 (瀏覽器) 與閘道之間的網路通訊往返時間。請求自瀏覽器送出後，到達閘道所花費的時間從閘道傳送回應到瀏覽器實際收到回應之間的時間這依賴於多個因素，例如網路情況和用戶端的連線速度。
最長連線佇列長度	指定閘道應接受的最大同步運作連線數。指定想要的連線數。

監視 Secure Remote Access 效能

監視可讓管理員評估 Secure Remote Access 不同元件的效能。

監視 Secure Remote Access 效能

登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下子功能表中的 [監視]。

在 [監視] 頁面上，從下拉式功能表選取代理伺服器實例。

選取 [MBeans] 表格中的屬性，以檢視效能值。

配置 Rewriter 選項

配置基本選項

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [Rewriter] 標籤。

修改下列屬性：

屬性名稱	描述
重寫所有 URI	選取 [啟用所有 URI 的重寫] 核取方塊，以使閘道重寫所有 URI。若您啟用閘道服務中 [啟用所有 URI 的重寫] 選項，則 Rewriter 會重寫所有 URI 而不會將其於 [網域與子網域代理伺服器清單] 中的項目進行核對。忽略網域與子網域清單的代理伺服器項目。
不要重寫的 URI	在編輯方塊中新增 URI。備註 – 將 #* 新增至這份清單可允許重寫 URI，即使 href 規則是規則集的一部分也一樣。

屬性名稱

描述

重寫所有 URI

選取 [啟用所有 URI 的重寫] 核取方塊，以使閘道重寫所有 URI。

若您啟用閘道服務中 [啟用所有 URI 的重寫] 選項，則 Rewriter 會重寫所有 URI 而不會將其於 [網域與子網域代理伺服器清單] 中的項目進行核對。忽略網域與子網域清單的代理伺服器項目。

不要重寫的 URI

在編輯方塊中新增 URI。

備註 –

將 #* 新增至這份清單可允許重寫 URI，即使 href 規則是規則集的一部分也一樣。

配置 URI 與規則集的對映

規則集會建立於 Portal Server 管理主控台中 [Portal Server 配置] 之下的 Rewriter 服務中。請參閱「 Portal Server 管理指南」以取得詳細資訊。

建立規則集之後，您可以使用 [對映 URI 至規則集] 欄位將網域與規則集進行關聯。下列兩個項目會依預設新增至 [對映 URI 至規則集] 欄位：

*://*.Sun.COM/portal/*|default_gateway_ruleset

其中 sun.com 是安裝入口網站的網域，而 /portal 是入口網站的安裝環境
*|generic_ruleset

這表示對於預設網域的所有頁面，將套用預設閘道規則集。對於其他頁面，則套用常規規則集。預設閘道規則集與常規規則集為預先封裝的規則集。

備註 –

對於所有顯示於桌面的內容，將使用預設網域的規則集，無論內容來自何處。

例如，假設桌面被配置為從 URL yahoo.com 取得內容。Portal Server 位於 sesta.com。將套用 sesta.com 規則集至取得的內容。

備註 –

您為其指定規則集的網域必須列於網域與子網域的代理伺服器清單中。

配置 URI 與規則集的對映

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [Rewriter] 標籤。

修改下列屬性：

屬性名稱

描述

URI

在 [對映 URI 至規則集] 欄位中輸入需要的網域或主機名稱以及規則集，然後按一下 [新增]。

此項目會新增至 [對映 URI 至規則集] 欄位中。

指定網域或主機名稱以及規則集的格式如下所示：

domain-name|ruleset-name

例如：

eng.sesta.com|default

備註 –

套用規則集的優先順序為 hostname-subdomain-domain。

以網域為基礎規則集清單中的項目範例如下：

sesta.com|ruleset1
eng.sesta.com|ruleset2
host1.eng.sesta.com|ruleset3

ruleset3 可套用於 host1 上的所有頁面。
ruleset2 可套用於 eng 子網域中的所有頁面，除了擷取於 host1 中的頁面。
ruleset1 可套用於 sesta.com 網域中的所有頁面，除了擷取於 eng 子網域與 host1 中的頁面。

配置剖析器與 MIME 類型的對映

Rewriter 有四個不同的剖析器以根據內容類型 - HTML、JAVASCRIPT、XML 與 CSS - 剖析網頁。依預設共用 MIME 類型會與這些剖析器相關。您可以在閘道服務中的 [對映剖析器至 MIME 類型] 欄位中將新 MIME 類型與這些剖析器相關聯。此將 Rewriter 功能延伸至其他 MIME 類型。

分隔多個項目請使用分號或逗號 (";" 或 ",")。

例如：

HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml

意味任何含有這些 MIME 的內容會被傳送到 HTML Rewriter 而 HTML 規則將被套用以重新寫入 URL。

提示 –

移除 MIME 對映清單中不需要的剖析器可以提高作業速度。例如，若您確定某些內部網站的內容將不會有任何 JavaScript，可以將 JAVASCRIPT 項目從 MIME 對映清單中移除。

配置剖析器與 MIME 類型的對映

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並按一下設定檔名稱以修改其屬性。

選取 [Rewriter] 標籤。

修改下列屬性：

屬性名稱	描述
剖析器	在 [對映剖析器至 MIME 類型] 欄位中，於編輯方塊中新增需要的 MIME 類型。使用分號或逗號以分隔多個項目。以 `HTML=text/html;text/htm` 格式指定項目按一下 [新增] 以新增需要的項目至清單中。

配置個人數位憑證認證

PDC 會由「憑證授權單位 (CA)」核發且使用 CA 的私人金鑰簽署。CA 在核發憑證前，會先驗證請求主體的身份。因此 PDC 的出現是一個具有權威的認證機制。

PDC 包含所有者的公開金鑰、所有者名稱、過期日期、核發數位憑證的「憑證授權單位」名稱、序號與一些其他資訊。

使用者可以使用 PDC 與已編碼的裝置，例如 Portal Server 中用於認證的智慧卡、與 Java 卡。已編碼裝置包含一個與儲存於卡中的 PDC 等效的電子文件。如果使用者使用其中一個機制登入，則不會顯示登入畫面，也不會顯示認證畫面。

PDC 認證會處理相關的數個步驟：

使用者從瀏覽器中輸入連線請求，例如 https://my.sesta.com。

對這個請求的回應會視至 my.sesta.com 的閘道是否已配置為接受憑證而定。

備註 –
當閘道配置為接受憑證時，將僅接受使用憑證的登入請求，不接受其他種類登入請求。

閘道會檢查憑證是否由已知的「憑證授權單位」核發，是否已過期與是否被竄改。若憑證有效，則閘道會讓使用者繼續執行驗證程序的下一步驟。
閘道會將此憑證傳遞到伺服器中 PDC 認證模組。

配置 PDC 與編碼裝置

在 Portal Server 機器上的 /etc/opt/SUNWam/config/AMConfig.properties 檔案新增下列行：com.iplanet.authentication.modules.cert.gwAuthEnable=yes 。

將必要的憑證匯入要啟用 PDC 的閘道的憑證資料庫。要配置憑證，請參閱在閘道機器上匯入根 CA 憑證

以管理員身份登入 Access Manager 管理主控台，並依照下列步驟執行：
1. 選取 [身份識別管理] 標籤，然後選取 [組織]。
2. 從 [檢視] 下拉式功能表，按一下組織的 [服務]。
3. 按一下 [新增] 以註冊憑證。

從 Access Manager 管理主控台中，依照下列步驟執行：
1. 選取想要的組織並按一下 [憑證] 旁的箭頭。
2. 在 [可信任的遠端主機] 清單方塊中，不反白顯示任意內容，然後按一下 [移除]。
3. 在文字欄位中在文字方塊中輸入任意內容，然後按一下 [新增]。
4. 按一下 [儲存]。

從 Access Manager 管理主控台中，依照下列步驟執行：
1. 選擇必要的組織，然後從 [檢視] 下拉式功能表選取 [服務]。
  
  會顯示服務清單。
2. 按一下 [認證配置] 核心服務旁的箭頭，並按一下 [新增]。
  
  顯示 [新建服務實例] 頁面。
3. 輸入服務實例名稱 gatewaypdc。
4. 按一下 [提交]。
  
  顯示 [gatewaypdc 服務實例清單]。
5. 按一下 gatewaypdc 以編輯服務。
  
  會顯示 gatewaypdc 顯示特性頁面。
6. 按一下 [認證模組] 旁的 [編輯] 連結，然後按一下 [新增]。
  
  隨即顯示 [新增模組] 頁。
7. 在 [模組名稱] 欄位選擇 [憑證]，而在 [實施條件] 欄位中選擇 [必要的]，然後按一下 [確定]。
8. 按一下 [確定] 完成。

從 Access Manager 管理主控台中，依照下列步驟執行：
1. 按一下 [核心] 旁的箭頭。
2. 在 [組織認證] 模組清單方塊中，選取 gatewaypdc。
3. 在 [使用者配置檔] 下拉功能表中選擇 [動態]。
4. 按一下 [儲存] 完成作業。

以管理員身份登入 Portal Server 管理主控台，並依照下列步驟執行：
1. 選取 [Secure Remote Access] 標籤並選取適當的閘道設定檔。
2. 選取 [安全性] 標籤。
3. 在 [啟用憑證的閘道主機] 清單方塊中，新增閘道名稱。
4. 按一下 [儲存]。

從終端機視窗重新啟動閘道設定檔：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

將 CA 所發出的用戶端憑證安裝至必須存取已啟用 PDC 的閘道的瀏覽器。

安裝用戶端憑證至 JVM 金鑰庫。可如下所示，從 windows 機器的 [開始] > [設定] > [控制台] > [Java] 來存取 JVM 控制面板。

新增下列內容至 Applet 執行階段參數：
- Djavax.net.ssl.keyStore=Path to Keystore
- Djavax.net.ssl.keyStorePassword=password
- Djavax.net.ssl.keyStoreType=type

存取您的閘道設定檔和機構：

https://gateway:instance-port/YourOrganization

您應該能夠登入而不會出現任何提示要求您輸入認證名稱的使用者名稱和密碼。

在閘道機器上匯入根 CA 憑證

在閘道機器上匯入根 CA 憑證。
1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
  
  會列出 Certadmin 功能表。
2. 選取選項 3。輸入憑證的路徑。
如需詳細資訊，請參閱第 10 章, 使用憑證。

產生「憑證簽署要求」以提交至 CA。
1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
  
  會列出 Certadmin 功能表。
2. 選取選項 2。輸入適當資訊。
3. 儲存檔案。

提交「憑證簽署要求」至 CA，並取得核准。在 CA 簽署後，儲存憑證回應。

在取得 CA 核准後，匯入「伺服器憑證」。
1. <Gateway-Install-Dir>/SUNWportal/bin/certadmin -n <gw-profile-name>
  
  會列出 Certadmin 功能表。
2. 選取選項 4。
3. 指定包含「伺服器憑證」的檔案位置。

在 Portal Server 機器上匯入根 CA 憑證。

使用指令行選項配置閘道屬性

此部分提供指令行選項，以從終端視窗配置下列作業的閘道屬性：

管理外部伺服器 Cookie 儲存

當啟用 [儲存外部伺服器 Cookie] 選項時，閘道會儲存與管理任何經由閘道存取的協力廠商應用程式或伺服器的 cookie。雖然應用程式或伺服器無法服務非 cookie 裝置或根據 cookie 進行狀態管理，閘道還是會透明遮罩應用程式或伺服器，使其無法了解閘道正在服務非 cookie 裝置。

有關非 Cookie 裝置與用戶端偵測的資訊，請參閱「Access Manager 自訂和 API 指南。」

鍵入下列指令，並按下 Enter 鍵以管理外部伺服器 Cookie 的儲存。

啟用：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement true

停用：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement false

取得屬性值：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a CookieManagement

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

啟用將 Cookie 標示為安全

當 cookie 標示為安全時，瀏覽器會以更加的安全小心處理此 cookie。安全性的實施會根據瀏覽器而有所不同。必須啟用 [啟用 Cookie 管理] 屬性才可實現此功能。

鍵入下列指令，並按下 Enter 鍵將 Cookie 標示為安全。

啟用：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure true

停用：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure false

取得屬性值：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MarkCookiesSecure

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

建立不可使用之代理伺服器的 URL 清單

閘道嘗試直接連接列於 [請勿使用網路代理伺服器 URL] 清單的 URL。Web 代理伺服器並不會用於連接這些 URL。

鍵入下列指令，並按下 Enter 鍵以管理不可使用之代理伺服器的 URL。

備註 –

如果有一個以上的 URL，則以空格分開每個 URL。

指定不使用的 URL：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"

新增至現有的 URL 清單：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -A "LIST_OF_URLS"

從現有的 URL 清單移除：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL -E "LIST_OF_URLS"

取得現有的 URL 清單：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DontUseWebProxyURL

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

管理 URI 對映的規則集

Secure Remote Access 支援 Microsoft Exchange 2000 SP3 安裝以及 Outlook Web Access (OWA) 的 MS Exchange 2003。

新增 URI 至現有的清單：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "URI|RULE_SET_NAME URI|RULE_SET_NAME"

從現有的清單移除 URI：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "URI|RULE_SET_NAME URI|RULE_SET_NAME"

取得現有的清單：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets

輸入下列指令，並按下 Enter 鍵以管理 Outlook Web Access 的規則集。

新增規則集：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -A "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"

移除規則集：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile default -a DomainsAndRulesets -E "EXCHANGE2000_SERVER_NAME exchange_2000sp3_owa_ruleset"

設定 URI 至規則集的對映清單：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DomainsAndRulesets "URI| RULE_SET_NAME URI|RULE_SET_NAME "

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

指定預設網域

當 URL 僅包括主機名稱而沒有網域與子網域時，預設網域將特別有用。在此情況下，閘道假設主機名稱位於預設網域清單中，並繼續執行相應的操作。

例如，若 URL 中的主機名稱為 host1，且預設網域與子網域被指定為 red.sesta.com，則主機名稱會被解析為 host1.red.sesta.com。

鍵入下列指令，並按下 Enter 鍵以指定預設網域。

設定預設網域：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains "DOMAIN_NAME"

取得預設網域：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a DefaultDomainsAndSubdomains

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

管理 MIME 推測

Rewriter 會根據網頁的 MIME 類型選擇剖析器。有些 Web 伺服器，如 WebLogic 和 Oracle，並不會傳送 MIME 類型。要解決這個問題，可以啟用 MIME 推測，方法是新增資料至 [剖析器至 URI 對映] 清單方塊。

鍵入下列指令，並按下 Enter 鍵以管理 MIME 推測。

啟用 MIME 猜測：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing true

停用 MIME 推測：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing false

取得值：

PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableMIMEGuessing

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

建立要剖析的 URI 對映清單

若已啟用 MIME 推測核取方塊，且伺服器沒有傳送 MIME 類型，可使用這個清單方塊以對映剖析器至 URI。

由分號分隔多個 URI。

例如 HTML=*.html; *.htm;*Servlet。這表示 HTML Rewriter 會用於重新寫入任何含有 html、htm，或 Servlet 副檔名的網頁內容。

鍵入下列指令，並按下 Enter 鍵以建立要剖析的 URI 對映清單。

設定要剖析的 URI 對映清單：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap

新增至現有的清單：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -A LIST

從現有的清單移除：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a MIMEMap -E LIST

取得現有的清單：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME-a MIMEMap

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」

管理遮罩

遮罩允許 Rewriter 重新寫入 URI，如此便看不見頁面的企業內部網路 URL。

鍵入下列指令，並按下 Enter 鍵以管理遮罩。

啟用遮罩：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation true

停用遮罩：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation false

取得值：

PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a EnableObfuscation

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

指定遮罩種子字串

種子字串會用於遮罩 URI。遮罩演算法會產生字串。

備註 –

若此種子字串已變更或閘道已重新啟動，則無法將已遮罩的 URI 新增書籤。

鍵入下列指令，並按下 Enter 鍵以指定遮罩種子字串。

設定遮罩種子字串：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey SECRET_KEY

取得值：

PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a ObfuscationSecretKey

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

建立不要遮罩的 URI 清單

某些應用程式 (例如 applet) 需要網際網路 URI 且無法被遮罩。要指定那些應用程式，請新增 URI 至清單方塊。

例如，如果您已新增 */Applet/Param* 至清單方塊，當內容 URI http://abc.com/Applet/Param1.html 符合規則集的規則時，則不會將 URL 遮罩起來。

備註 –

如果有一個以上的 URI，則以空格分開每個 URI。

鍵入下列指令，並按下 Enter 鍵以建立不要遮罩的 URI 清單。

設定不要遮罩的 URI 清單：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList LIST_OF_URI

新增至現有的清單：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -A LIST_OF_URI

從現有的清單移除：

PS_INSTALL_DIR /bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList -E LIST_OF_URI

取得現有的值：

PS_INSTALL_DIR /bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a NotToObscureURIList

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

讓閘道通協定與原始 URI 通訊協定相同

當閘道以 http 與 https 兩種模式執行時，可以啟用 Rewriter 以使用一致的通訊協定存取 HTML 內容的參照資源。

例如，若原始 URL 為 http://intranet.com/Public.html，則會新增 http 閘道。若原始 URL 為 https://intranet.com/Public.html，則會新增 https 閘道。

備註 –

這將僅套用至靜態 URI，而非產生於 Javascript 的動態 URI。

鍵入下列指令，並按下 Enter 鍵使閘道協定與原始的 URI 協定相同。

啟用：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway true

停用：

PS_INSTALL_DIR/bin/psadmin set-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway false

取得值：

PS_INSTALL_DIR/bin/psadmin get-attribute -u amadmin -f PASSWORD_FILE -m gateway --gateway-profile PROFILE_NAME -a UseConsistentProtocolForGateway

亦請參閱

「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin set-attribute」與「Sun Java System Portal Server 7.2 Command-Line Reference」中的「psadmin get-attribute」

第 9 章在閘道服務中配置 Rewriter

在此反白內容。

本章包含下列各節：

如需 rewriter 規則的詳細資訊，請參閱定義以語言為基礎的規則

如需 Rewriter 問題的詳細資訊，請參閱使用除錯記錄檔排除故障。

如需 Rewriter 範例，請參閱工作範例。

建立 URI 與規則集對映清單

建立規則集之後，可以使用 [對映 URI 至規則集] 欄位將網域與規則集關聯在一起。下列兩個項目會依預設新增至 [對映 URI 至規則集] 欄位：

*://*.Sun.COM/portal/*|default_gateway_ruleset

其中 sun.com 是安裝入口網站的網域，而 /portal 是入口網站的安裝環境
*|generic_ruleset

這表示，網域為 sun.com 之入口網站目錄的所有網頁，將套用 default_gateway_ruleset。對於其他頁面，則套用常規規則集。default_gateway_ruleset 與 generic_ruleset 是預先封裝的規則集。

備註 –

對於所有顯示於標準入口網站桌面中的內容，將使用 default_gateway_ruleset 規則集，與取得內容處無關。

例如，假設配置標準入口網站桌面來從 URL yahoo.com 擷取內容。Portal Server 位於 sesta.com。將套用 sesta.com 規則集至取得的內容。

備註 –

您為其指定規則集的網域必須列於網域與子網域的代理伺服器清單中。

在語法中使用萬用字元

您可對映一個完全合格的 URI 或在規則集中使用星號來對映部分 URI。

例如，您可以將 java_index_page_ruleset 套用至 index.html 網頁，如下所示：

www.sun.com/java/index.html/java_index_page_ruleset

或者，您可以將java_directory_ruleset 套用至 Java 目錄下的所有網頁，如下所示：

www.sun.com/java/* /java_directory_ruleset

在閘道服務中配置 Rewriter

藉由使用 [Rewriter] 標籤下的閘道服務，您可以執行下列兩種工作 - 基礎與進階：

基礎作業

啟用閘道以重寫所有 URI

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並選取要修改其屬性的閘道設定檔。

選取 [Rewriter] 標籤。

在 [基本選項] 下，選取 [啟用所有 URI 的重寫] 核取方塊，以使閘道重寫所有 URI。

按一下 [儲存] 完成作業。

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

指定不要重寫的 URI

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並選取要設定屬性的閘道設定檔。

選取 [Rewriter] 標籤。

在 [基本選項] 下，於 [新增] 欄位內輸入 URI，並按一下 [新增]。

URI 值會顯示於 [不要重寫的 URI] 方塊。

備註 –
將 #* 新增至這份清單可允許重寫 URI，即使 href 規則是規則集的一部分也一樣。

按一下 [儲存] 完成作業。

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

將 URI 對應至規則集

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並選取要設定屬性的閘道設定檔。

選取 [Rewriter] 標籤。

在 [Rewriter 選項] 下，按一下 [對映 URI 至規則集]，並按一下 [新增列]。

在 URI 欄位內輸入必要的網域或主機名稱，並在 [規則集] 欄位中輸入適當的規則集。

此項目會新增至 [對映 URI 至規則集] 清單中。指定網域或主機名稱以及規則集的格式如下所示：
domain name|ruleset name
例如：
eng.sesta.com|default

按一下 [儲存] 完成作業。

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

指定 MIME 對映

Rewriter 有四個不同的剖析器以根據內容類型：HTML、JAVASCRIPT、CSS 和 XML。依預設共用 MIME 類型會與這些剖析器相關。您可以在閘道服務中的 [對映剖析器至 MIME 類型] 欄位中將新 MIME 類型與這些剖析器相關聯。此將 Rewriter 功能延伸至其他 MIME 類型。

分隔多個項目請使用分號或逗號 (";" 或 ",")。例如：

HTML=text/html;text/htm;text/x-component;text/wml; text/vnl/wap.wml

意味任何含有這些 MIME 的內容會被傳送到 HTML Rewriter 而 HTML 規則將被套用以重寫 URL。

提示 –

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並選取要設定屬性的閘道設定檔。

選取 [Rewriter] 標籤。

在 [Rewriter 選項] 下，按一下 [對映剖析器至 MIME 類型]。

以 HTML=text/html;text/htm 格式指定項目

按一下 [新增列] 將項目新增至清單。在 [MIME 類型] 欄位中輸入剖析器值以及其對映至的對應 MIME 值。

按一下 [儲存] 完成作業。

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

指定預設網域

當 URL 僅包括主機名稱而沒有網域與子網域時，預設網域與子網域將特別有用。在此情況下，閘道將假設主機名稱位於預設網域與子網域中，並繼續執行相應的操作。

例如，若 URL 中的主機名稱為 host1，且預設網域與子網域被指定為 red.sesta.com，則主機名稱會被解析為 host1.red.sesta.com。

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，並選取要設定屬性的閘道設定檔。

選取 [部署] 標籤。

在 [網域與子網域的代理伺服器] 欄位中，輸入不包含代理伺服器的必要網域名稱。

按一下 [儲存] 完成作業。

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance –u amadmin – f  <password file> –N <profile name>– t  <gateway>

第 10 章使用憑證

本章會介紹憑證管理並解釋如何安裝自簽的憑證與來自憑證授權單位 (CA) 的憑證。

本章說明下列主題：

SSL 憑證簡介

Sun Java System Portal Server Secure Remote Access 軟體為遠端使用者提供以憑證為基礎的認證。SRA 使用安全套接層 (SSL) 以啟用安全通訊。此 SSL 通訊協定可實現兩部機器之間的安全通訊。

SSL 憑證使用公開金鑰與私人金鑰對提供加密與解密功能。

有兩種類型的憑證：

自簽憑證 (亦稱為根 CA 憑證)
由憑證授權單位 (CA) 核發的憑證

依預設，當您安裝閘道時，系統會產生並安裝自簽憑證。

安裝之後，您可以隨時產生、獲得或取代憑證。

SRA 同時支援使用個人數位憑證 (PDC) 的用戶端認證。PDC 是透過 SSL 用戶端認證進行使用者認證的機制。有了 SSL 用戶端認證，SSL 訊號交換模式便會於閘道結束。閘道會擷取使用者的 PDC 並將它傳送到認證伺服器。而此伺服器會使用 PDC 認證使用者。要隨認證鏈接一起配置 PDC，請參閱使用認證鏈接。

SRA 提供名為 certadmin 的工具，可讓您用來管理 SSL 憑證。請參閱 certadmin 程序檔。

備註 –

憑證快顯式視窗在 SSL 應用程式中很常見。建議使用者接受警告並繼續執行。

憑證檔案

與憑證相關的檔案位於 /etc/opt/SUNWportal/cert/ gateway-profile-name。此目錄依預設包含 5 個檔案。

憑證檔案列出這些檔案及其描述。

表 10–1 憑證檔案


檔案名稱	類型	描述
`cert8.db`、`key3.db`、`secmod.db`	二進位	包含憑證、金鑰和密碼編譯模組的資料。可以使用 `certadmin` 程序檔進行操控。如有必要，這些檔案可以在 Portal Server 主機和閘道元件或閘道之間共享使用。
`.jsspass`	隱藏文字檔	包含用於 SRA 金鑰資料庫的加密密碼。
`.nickname`	隱藏文字檔	以 `token-name:certificate-name` 格式儲存閘道需要使用的記號與憑證的名稱。若您正在使用預設記號 (預設內部軟體加密模組的記號)，請省略記號名稱。在大部分的情形下，`.nickname` 檔案僅會儲存憑證名稱。身為管理員，您可以修改此檔案中的憑證名稱。閘道現在將使用您所指定的憑證。

憑證信任屬性

憑證的信任屬性表示以下資訊：

憑證 (就用戶端或伺服器憑證而言) 是否由信任的 CA 所核發。
是否可以信任憑證 (就根憑證而言) 作為伺服器與用戶端憑證的核發者。

每種憑證有三種可能的信任種類，說明順序為：「SSL、電子郵件、物件簽署」。只有第一種類別可用於閘道。在每個種類位置，可以使用零或其他信任屬性代碼。

種類的屬性代碼由逗號隔開，而整個屬性集則是由引號環繞。例如，閘道安裝期間產生並安裝的自簽憑證標記為 "u,u,u"，表示此憑證為伺服器憑證 (使用者憑證)，而不是根 CA 憑證。

憑證信任屬性列出可能的屬性值與每個值的意義。

表 10–2 憑證信任屬性


屬性	描述
p	有效點
P	可信任點 (暗含 p)
c	有效 CA
T	可信任的 CA 核發用戶端憑證 (暗含 c)
C	可信任的 CA 核發伺服器憑證 (僅限 SSL) (暗含 c)
u	憑證可以用於認證或簽署
w	傳送警告 (在該環境中使用憑證時，與其他屬性一起使用以便包含一個警告)

CA 信任屬性

憑證資料庫中包含眾所皆知的公開 CA。有關修改公開 CA 信任屬性的資訊，請參閱修改憑證的信任屬性。

CA 信任屬性列出最常用的憑證授權單位及其信任屬性。

表 10–3 公開憑證授權單位


憑證授權單位名稱	信任屬性
Verisign/RSA Secure Server CA	CPp,CPp,CPp
VeriSign Class 4 Primary CA	CPp,CPp,CPp
GTE CyberTrust Root CA	CPp,CPp,CPp
GTE CyberTrust Global Root	CPp,CPp,CPp
GTE CyberTrust Root 5	CPp,CPp,CPp
GTE CyberTrust Japan Root CA	CPp,CPp,CPp
GTE CyberTrust Japan Secure Server CA	CPp,CPp,CPp
Thawte Personal Basic CA	CPp,CPp,CPp
Thawte Personal Premium CA	CPp,CPp,CPp
Thawte Personal Freemail CA	CPp,CPp,CPp
Thawte Server CA	CPp,CPp,CPp
Thawte Premium Server CA	CPp,CPp,CPp
American Express CA	CPp,CPp,CPp
American Express Global CA	CPp,CPp,CPp
Equifax Premium CA	CPp,CPp,CPp
Equifax Secure CA	CPp,CPp,CPp
BelSign Object Publishing CA	CPp,CPp,CPp
BelSign Secure Server CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 0 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 1 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 2 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 3 CA	CPp,CPp,CPp
TC TrustCenter, Germany, Class 4 CA	CPp,CPp,CPp
ABAecom (sub., Am. Bankers Assn.) Root CA	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 1	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 3	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 2	CPp,CPp,CPp
Digital Signature Trust Co. Global CA 4	CPp,CPp,CPp
Deutsche Telekom AG Root CA	CPp,CPp,CPp
Verisign Class 1 Public Primary Certification Authority	CPp,CPp,CPp
Verisign Class 2 Public Primary Certification Authority	CPp,CPp,CPp
Verisign Class 3 Public Primary Certification Authority	CPp,CPp,CPp
Verisign Class 1 Public Primary Certification Authority - G2	CPp,CPp,CPp
Verisign Class 2 Public Primary Certification Authority - G2	CPp,CPp,CPp
Verisign Class 3 Public Primary Certification Authority - G2	CPp,CPp,CPp
Verisign Class 4 Public Primary Certification Authority - G2	CPp,CPp,CPp
GlobalSign Root CA	CPp,CPp,CPp
GlobalSign Partners CA	CPp,CPp,CPp
GlobalSign Primary Class 1 CA	CPp,CPp,CPp
GlobalSign Primary Class 2 CA	CPp,CPp,CPp
GlobalSign Primary Class 3 CA	CPp,CPp,CPp
ValiCert Class 1 VA	CPp,CPp,CPp
ValiCert Class 2 VA	CPp,CPp,CPp
ValiCert Class 3 VA	CPp,CPp,CPp
Thawte Universal CA Root	CPp,CPp,CPp
Verisign Class 1 Public Primary Certification Authority - G3	CPp,CPp,CPp
Verisign Class 2 Public Primary Certification Authority - G3	CPp,CPp,CPp
Verisign Class 3 Public Primary Certification Authority - G3	CPp,CPp,CPp
Verisign Class 4 Public Primary Certification Authority - G3	CPp,CPp,CPp
Entrust.net Secure Server CA	CPp,CPp,CPp
Entrust.net Secure Personal CA	CPp,CPp,CPp
Entrust.net Premium 2048 Secure Server CA	CPp,CPp,CPp
ValiCert OCSP Responder	CPp,CPp,CPp
Baltimore CyberTrust Code Signing Root	CPp,CPp,CPp
Baltimore CyberTrust Root	CPp,CPp,CPp
Baltimore CyberTrust Mobile Commerce Root	CPp,CPp,CPp
Equifax Secure Global eBusiness CA	CPp,CPp,CPp
Equifax Secure eBusiness CA 1	CPp,CPp,CPp
Equifax Secure eBusiness CA 2	CPp,CPp,CPp
Visa International Global Root 1	CPp,CPp,CPp
Visa International Global Root 2	CPp,CPp,CPp
Visa International Global Root 3	CPp,CPp,CPp
Visa International Global Root 4	CPp,CPp,CPp
Visa International Global Root 5	CPp,CPp,CPp
beTRUSTed Root CA	CPp,CPp,CPp
Xcert Root CA	CPp,CPp,CPp
Xcert Root CA 1024	CPp,CPp,CPp
Xcert Root CA v1	CPp,CPp,CPp
Xcert Root CA v1 1024	CPp,CPp,CPp
Xcert EZ	CPp,CPp,CPp
CertEngine CA	CPp,CPp,CPp
BankEngine CA	CPp,CPp,CPp
FortEngine CA	CPp,CPp,CPp
MailEngine CA	CPp,CPp,CPp
TraderEngine CA	CPp,CPp,CPp
USPS Root	CPp,CPp,CPp
USPS Production 1	CPp,CPp,CPp
AddTrust Non-Validated Services Root	CPp,CPp,CPp
AddTrust External Root	CPp,CPp,CPp
AddTrust Public Services Root	CPp,CPp,CPp
AddTrust Qualified Certificates Root	CPp,CPp,CPp
Verisign Class 1 Public Primary OCSP Responder	CPp,CPp,CPp
Verisign Class 2 Public Primary OCSP Responder	CPp,CPp,CPp
Verisign Class 3 Public Primary OCSP Responder	CPp,CPp,CPp
Verisign Secure Server OCSP Responder	CPp,CPp,CPp
Verisign Time Stamping Authority CA	CPp,CPp,CPp
Thawte Time Stamping CA	CPp,CPp,CPp
E-Certify CA	CPp,CPp,CPp
E-Certify RA	CPp,CPp,CPp
Entrust.net Global Secure Server CA	CPp,CPp,CPp
Entrust.net Global Secure Personal CA	CPp,CPp,CPp

certadmin 程序檔

您可以使用 certadmin 程序檔執行下列憑證管理作業：

產生自簽憑證

您需要為每個伺服器和閘道之間的 SSL 通訊產生憑證。

安裝之後產生自簽憑證

以超級使用者身份，在您想要產生憑證的閘道機器上執行 certadmin 程序檔：

portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10) Quit
choice: [10]
1

在憑證管理功能表上選擇選項 1。

憑證管理程序檔會詢問您是否想要保留現有的資料庫檔案。

請輸入組織特定的資訊、記號名稱和憑證名稱。

備註 –

如需萬用字元憑證，請在主機的完全合格的 DNS 名稱中指定一個 * 號。例如，如果主機的完全合格 DNS 名稱為 abc.sesta.com，請指定為 *.sesta.com。產生的憑證現在對於 sesta.com 網域中的所有主機名稱都有效。

What is the fully-qualified DNS name of this host? [host_name.domain_name]
What is the name of your organization (ex: Company)? []
What is the name of your organizational unit (ex: division)? []
What is the name of your City or Locality? []
What is the name (no abbreviation please) of your State or Province? []
What is the two-letter country code for this unit? []
Token name is needed only if you are not using the default internal 
(software) cryptographic module, for example, if you want to use a crypto card 
(Token names could be listed using:
modutil -dbdir /etc/opt/SUNWportal/cert/gateway-profile-name -list);
Otherwise, just hit Return below.
Please enter the token name. []
Enter the name you like for this certificate?
Enter the validity period for the certificate (months) [6]
A self-signed certificate is generated and the prompt returns.

記號名稱 (預設空白) 和憑證名稱儲存於 /etc/opt/SUNWportal/cert/ gateway-profile-name 之下的 .nickname 檔案中。

重新啟動憑證以使閘道生效：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

產生憑證簽署請求 (CSR)

可以從 CA 訂製憑證之前，您需要產生包含 CA 所需要資訊的憑證簽署要求。

產生 CSR

以超級使用者身份執行 certadmin 程序檔：

portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10) Quit
choice: [10]
2

在憑證管理功能表上選擇選項 2。

程序檔提示您輸入組織特定的資訊、記號名稱和網路管理員電子郵件及電話號碼。

請指定主機的完整合格 DNS 名稱。

What is the fully-qualified DNS name of this host? [snape.sesta.com]
What is the name of your organization (ex: Company)? []
What is the name of your organizational unit (ex: division)? []
What is the name of your City or Locality? []
What is the name (no abbreviation please) of your State or Province? []
What is the two-letter country code for this unit? []
Token name is needed only if you are not using the default internal 
(software) cryptographic module, 
for example, if you want to use a crypto card 
(Token names could be listed using: 
modutil -dbdir /etc/opt/SUNWportal/cert -list);
Otherwise, just hit Return below.
Please enter the token name []
Now input some contact information for
the webmaster of the machine that the certificate 
is to be generated for.
What is the email address of the admin/webmaster for this server [] ?
What is the phone number of the admin/webmaster for this server [] ?

輸入所有需要的資訊。

備註 –
請務必填寫網路管理員電子郵件和電話號碼。為了獲得有效的 CSR，必須填寫這兩項資訊。

CSR 會產生並儲存於 portal-server-install-root /SUNWportal/bin/csr.hostname.datetimestamp 檔案中。CSR 同時會列印於螢幕上。當您從 CA 訂製憑證時，可以直接複製並貼上 CSR。

新增根 CA 憑證

若用戶端網站提交的憑證由閘道憑證資料庫中不包含的 CA 所簽署，則 SSL 訊號交換模式將會失敗。

要避免這種情況，您需要新增根 CA 憑證到憑證資料庫。這項動作可以確保 CA 變成閘道所知的 CA。

瀏覽至 CA 的網站並獲得此 CA 的根憑證。當您使用 certadmin 程序檔時，請指定根 CA 憑證的檔案名稱和路徑。

新增根 CA 憑證

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10) Quit
choice: [10]
3

在憑證管理功能表上選擇選項 3。

輸入包含根憑證的檔案名稱並輸入憑證名稱。

根 CA 憑證將會新增至憑證資料庫。

安裝來自憑證授權單位的 SSL 憑證

閘道安裝期間，依預設系統會建立自簽憑證並安裝。在安裝之後的任何時間，您都可以安裝由供應商或由您公司的 CA 提供簽署的 SSL 憑證，其中這些供應商會提供正式的憑證授權單位 (CA) 服務。

這項工作包含的三個步驟為：

從 CA 訂製憑證

產生憑證簽署要求 (CSR) 之後，您需要使用 CSR 從 CA 訂製憑證。

從 CA 訂製憑證

請至憑證授權單位的網站並訂製您的憑證。

提供 CA 所要求的 CSR。若 CA 要求請提供其他資訊。

您將會收到 CA 簽署的憑證。請將它儲存在檔案中。檔案中憑證內容前後請包含 "BEGIN CERTIFICATE" 和 "END CERTIFICATE" 兩行。

下面的範例省略了實際的憑證資料。
-----BEGIN CERTIFICATE----- The certificate contents... ----END CERTIFICATE-----

安裝來自 CA 的憑證

使用 certadmin 程序檔，將您從 CA 獲得的憑證安裝在本機資料庫檔案中，路徑是 /etc/opt/SUNWportal/cert/ gateway-profile-name。

安裝來自 CA 的憑證

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWportal/bin/certadmin -n gateway-profile-name

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10)Quit
choice: [10]
4

在憑證管理功能表上選擇選項 4。

程序檔會讓您輸入憑證檔案名稱、憑證名稱和記號名稱。

What is the name (including path) of file that contains the certificate?
Please enter the token name you used when creating CSR for this certificate. []

提供所有需要的資訊。

憑證安裝於 /etc/opt/SUNWportal/cert/gateway-profile-name ，而且系統會傳回螢幕提示。

重新啟動憑證以使閘道生效：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

刪除憑證

您可以使用憑證管理程序檔刪除憑證。

刪除憑證

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWportal/bin/certadmin -n

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10)Quit
choice: [10]
5

在憑證管理功能表上選擇選項 5。

輸入要刪除的憑證名稱。

修改憑證的信任屬性

若用戶端認證與閘道一起使用，憑證信任屬性則需要修改。其中一個用戶端認證範例為 PDC (個人數位憑證)。核發 PDC 的 CA 必須受閘道所信任，其中 CA 憑證的 SSL 標記必須為 "T"。

若閘道設為與 HTTPS 網站通訊，HTTPS 網站伺服器憑證的 CA 必須受閘道所信任，而且 CA 憑證的 SSL 標記必須為 "C"。

修改憑證的信任屬性

以超級使用者身份執行 certadmin 程序檔。

gateway-install-root/SUNWportal/bin/certadmin -n
gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10)Quit
choice: [10]
6

在憑證管理功能表上選擇選項 6。

輸入憑證名稱。例如：Thawte Personal Freemail CA。

Please enter the name of the certificate?
Thawte Personal Freemail CA

輸入憑證的信任屬性。

Please enter the trust attribute you want the 
certificate to have [CT,CT,CT]

系統將會變更憑證信任屬性。

列示根 CA 憑證

您可以使用憑證管理程序檔檢視所有根 CA 憑證。

檢視根 CA 清單

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWportal/bin/certadmin -n
gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10)Quit
choice: [10]
7

在憑證管理功能表上選擇選項 7。

系統會顯示所有根 CA 憑證。

列示所有憑證

您可以使用憑證管理程序檔檢視所有憑證及其對應的信任屬性。

列示所有憑證

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root
/SUNWportal/bin/certadmin -n
gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10)Quit
choice: [10]
8

在憑證管理功能表上選擇選項 8。

系統會顯示所有 CA 憑證。

列印憑證

您可以使用憑證管理程序檔列印憑證。

列印憑證

以超級使用者身份執行 certadmin 程序檔。

portal-server-install-root/SUNWportal/bin/certadmin -n
 gateway-profile-name

其中 gateway-profile-name 是閘道實例的名稱。

系統便會顯示憑證管理功能表。

1) Generate Self-Signed Certificate
2) Generate Certificate Signing Request (CSR)
3) Add Root CA Certificate
4) Install Certificate From Certificate Authority (CA)
5) Delete Certificate
6) Modify Trust Attributes of Certificate (e.g., for PDC)
7) List Root CA Certificates
8) List All Certificates
9) Print Certificate Content
10)Quit
choice: [10]
9

在憑證管理功能表上選擇選項 9。

輸入憑證名稱。

第 11 章配置 Netlet

本章節說明如何透過 Sun Java System Portal Server 管理主控台配置 Netlet 屬性。可以在組織層級進行配置的所有屬性也可以在使用者層級進行配置。如需有關組織、角色與使用者層級屬性的詳細資訊，請參閱「 Access Manager 管理指南」。

本章包含下列各節：

配置 Netlet 屬性

您可執行下列作業來配置 Netlet：

配置基本屬性

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤並選取 [Netlet] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

修改下列屬性：

屬性名稱	描述
COS 優先順序	指定要用來決定屬性值繼承的值。如需有關此屬性的詳細資訊，請參閱「Sun Java System Directory Server 管理指南」。
啟動使用 Netlet	選取 Java Webstart 或 Applet 選項模式來啟動 Netlet 服務。
預設回送連接埠	指定經由 Netlet 下載 Applet 時，在本機上使用的連接埠。將使用預設值 58000，除非值在 Netlet 規則中被置換。輸入需要的連接埠號。
保持使用中的間隔 (秒)	如果用戶端透過 Web 代理伺服器連線到閘道，閒置的 Netlet 連線會因為代理伺服器逾時而中斷。要防止發生這種情況，請輸入小於代理伺服器逾時的值。

按一下 [儲存] 完成作業。

配置進階屬性

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤並選取 [Netlet] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

修改下列屬性：

屬性名稱	描述
在門戶網站登出時終止 Netlet	選取 [是] 確保在使用者登出 Portal Server 時終止所有連線。這可確保取得較大的安全性。根據預設，會選取此選項。選取 [否] 以確保即使在使用者登出 Portal Server 桌面之後，使用中的 Netlet 連線仍在作用中。備註 – 當選取 [否] 選項時，不允許使用者在登出 Portal Server 後，建立新 Netlet 連線。僅會保留現有連線。
連線時重新認證	選取 [是] 指定經由 Netlet 下載 Applet 時，在本機上使用的連接埠。預設值是 58000，除非值在 Netlet 規則中被置換。根據預設，會選取 [否] 選項。
連線時顯示快顯式警告	選取 [是]，則當其他使用者正嘗試透過偵聽連接埠連線至 Netlet，並且使用者正在使用 Netlet 執行應用程式時，會在使用者桌面上顯示一個快顯式警告對話方塊。根據預設，會選取 [是] 選項。
在連接埠警告對話方塊中顯示核取方塊	選取 [是]，則當 Netlet 嘗試透過本機中可自由使用的連接埠連線至目標主機時 (如果它是在管理主控台中啟用)，會在使用者桌面中顯示快顯式警告對話方塊。根據預設，會選取 [是] 選項。
Netlet 規則	在全域層級建立 Netlet 規則。您所建立的任何新組織都會繼承這些規則。如需建立、修改與刪除 Netlet 規則的詳細資訊，請參閱建立、修改或刪除 Netlet 規則
預設原生 VM 加密	從下拉式方塊選取 Netlet 規則的預設加密法。如果現有規則未將加密法包括成為規則的一部分，當您在使用現有規則時，這個選項就非常有用。如需詳細資訊，請參閱向下相容性一節。
預設 Java 外掛程式加密	從下拉式方塊中選取預設 Java 外掛程式加密。請參閱支援的密碼以取得支援的加密法清單。
允許的/拒絕的主機	選取主機位址核取方塊，並選取主機以允許根據使用者或組織類型存取，並從下拉式方塊選取 [允許] 或 [拒絕] 選項。新增新主機：按一下 [新增列]。輸入以指定完整合格主機位址，例如：要指定 `abc`，請輸入 `abc.sesta.com`。備註 – 刪除現有的主機：從 [主機] 清單中，選取主機並按一下 [刪除]。您可針對某些組織、角色或使用者定義存取或拒絕特定主機。例如，您可以設定含有五個主機的 [允許] 清單，使用者可遠端登入這五個主機。您可以拒絕對組織內特定主機的存取。為每個規則指定唯一的`本機連接埠`。備註 – 此欄位中的星號 () 表示此指定網域的所有主機皆為可存取。例如，若您指定 `.sesta.com`，則 `sesta.com` 網域中的所有 Netlet 目標將可由使用者執行。您也可以指定萬有字元的 IP 位址，例如 `xx.xxx.xxx.*`。
存取/拒絕 Netlet 規則	選取 Nelet 規則，並從下拉式方塊選取 [允許] 或 [拒絕] 選項。您可以定義某些組織、角色或使用者對特定 Netlet 規則的存取。您可以拒絕某些組織、角色或使用者對特定 Netlet 規則的存取。備註 – 此欄位值如果為星號 (*) 表示所有已定義的 Netlet 規則皆可用於已選的組織。

按一下 [儲存] 完成作業。

建立、修改或刪除 Netlet 規則

您也可以在組織、角色或使用者層級中建立新的規則或修改現有規則。您所建立的任何新組織都會繼承這些規則。

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤並選取 [Netlet] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

在 [進階] > [Netlet 規則] 下，按一下 [新增規則]。
- 要刪除規則，請選取規則並按一下 [刪除]。
- 要修改規則，請按一下規則名稱。
  
  在 Netlet 頁面中，按照下述步驟來修改參數。

在 [規則名稱] 欄位中輸入規則名稱。

從可用加密法清單中選取 [其他]，並在 [加密密碼] 清單下，選取一或多個加密密碼或選取 [預設值] 來保留預設加密密碼。

如果現有規則未將加密法包括成為規則的一部分，當您在使用現有規則時，這個選項就非常有用。如需資訊，請參閱「向下相容性」一節。如需加密法的詳細資訊，請參閱「指定預設加密密碼」。

在 [遠端應用程式 URL] 欄位中輸入要呼叫的應用程式的 URL。

若需要下載 applet，則選取 [用戶端連接埠] 核取方塊。請在 [用戶端連接埠]、[伺服器主機] 與 [伺服器連接埠] 欄位中，輸入用戶端連接埠號碼、伺服器主機位址與伺服器連接埠號碼。為每個規則指定唯一的本機連接埠。

根據預設，會停用 [啟用下載 Applet] 方塊。只有在 applet 需要從 Portal Server 主機之外的主機下載時，才指定 applet 詳細資訊。如需詳細資訊，請參閱從遠端主機下載 Applet。

選取 [啟用延伸階段作業] 核取方塊確保當與此規則相對應的 Netlet 階段作業在執行時，Portal Server 階段作業時間將會延長。

在 [將本機連接埠對映至目標伺服器連接埠] 下，依照下列步驟執行：
1. 在本機連接埠欄位中輸入 Netlet 偵聽的本機連接埠。
  
  對於 FTP 規則，本機連接埠值必須為 30021。
2. 在 [目標主機] 欄位中輸入項目。
  
  對於靜態規則，請輸入用於 Netlet 連線的目標機器之主機名稱。對於動態規則，請輸入 "TARGET"。
3. 在 [目標連接埠] 欄位中輸入目標主機的連接埠。

按一下 [儲存] 完成作業。

會在 Netlet 首頁上顯示規則名稱。

Netlet 代理伺服器配置

在使用者層級還可以配置下列屬性：

瀏覽器代理伺服器類型
瀏覽器代理伺服器主機
瀏覽器代理伺服器連接埠
瀏覽器代理伺服器置換清單

如果您未在管理主控台中指定這些值，而且 Netlet 無法確定瀏覽器代理伺服器設定，當使用者透過 Netlet 初次建立連線時，系統將會詢問此資訊。使用者將會儲存此資訊並作為未來連線之用。

Netlet 無法確定下列方案中的瀏覽器代理伺服器設定：

使用者擁有 Internet Explorer 4.x、5.x 或 6.x 以及 Java 外掛程式(1.4.0 之前的版本)，已經在 Java 外掛程式控制台的 [代理程式] 標籤中啟用 [使用瀏覽器設定] 選項，並且已經在 Internet Explorer 的 [本地區域網路設定] 對話方塊中的 [使用自動配置程序檔] 欄位中指定了附加產品或 INS 檔案。
使用者安裝了 Netscape 6.2 與 Java 外掛程式(1.3.1_01 或更新的版本) 並且已經在 Java 外掛程式控制台的 [代理程式] 標籤中啟用 [使用瀏覽器設定] 選項。

在上面兩種情況中，Netlet 無法確定瀏覽器設定，因此系統會要求使用者提供下列資訊：

瀏覽器代理伺服器類型

此屬性值可以是 DIRECT 或 MANUAL。如果使用者從下拉清單中選擇 DIRECT，Netlet 將會直接與閘道主機連接。
瀏覽器代理伺服器主機

指定需要的代理伺服器主機，Netlet 需要透過此主機進行連接。
瀏覽器代理伺服器連接埠

指定代理伺服器主機上的連接埠，Netlet 需要透過此連接埠進行連接。
瀏覽器代理伺服器置換清單 (以逗號分隔)

指定您不希望 Netlet 透過代理伺服器連接的主機。此清單可以包含多個以逗號分隔的主機名稱。

第 12 章配置 Netlet 使用私有網域憑證

本章說明如何配置瀏覽器的 Java 外掛程式，以使 Netlet 能夠和 PDC 搭配使用。

備註 –

只有包含 JSSE 的 Virtual Machine (VM) 才能搭配使用 Netlet 與 PDC。

為 PDC 配置 Netlet

此處為簡介文字。

為 PDC 配置 Netlet

在 Portal Server 機器上 /ect/opt/SUNWam/config/AMConfig.properties 檔案中的任何位置新增 com.iplanet.authentication.modules.cert.gwAuthEnable=yes。

將必要的憑證匯入要啟用 PDC 的閘道的憑證資料庫。

在閘道機器上匯入根 CA 憑證。

新增 CA 憑證至您的閘道設定檔。

提示 –
建立您專屬的閘道設定檔，以測試 PDC。

執行下列步驟以新增憑證至您的閘道設定檔。
1. Gateway Install Directory/SUNWportal/bin/certadmin -n gateway profile name
  
  會列出 Certadmin 功能表。
2. 選取選項 3。
3. 提供憑證路徑。
  
  會顯示已新增憑證的訊息。

產生「憑證簽署要求」以提交至 CA。

執行下列步驟以產生「憑證簽署要求」：
1. Gateway Install Directory/SUNWportal/bin/certadmin -n gateway profile name
  
  會列出 Certadmin 功能表。
2. 選取選項 2。
3. 提供問題的適當答案。
4. 將要求儲存成檔案。

提交「憑證簽署要求」至 CA，並取得核准。

提示 –
在 CA 簽署後，儲存憑證簽署回應。

匯入 CA 許可的「伺服器憑證」。

執行下列步驟，以匯入「伺服器憑證」：
1. Gateway Install Directory/SUNWportal/bin/certadmin -n gateway profile name
  
  會列出 Certadmin 功能表。
2. 選取選項 4。
3. 提供包含「伺服器憑證」之檔案的位置。

將「根 CA」憑證匯入 Portal Server 機器。
- 對於 Application Server，請使用下列指令以新增 root-ca 。
  
  ./certutil -A -n rootca -t "TCu,TCu,TCuw" -d /var/opt/SUNWappserver/domains/domain1/config -a -i path to root-ca

第 13 章配置 Proxylet

本章說明如何透過 Sun Java System Portal Server 管理主控台配置 Proxylet。

本章包含下列章節：

配置 Proxylet 屬性

核取 [部署] 選項下的 [自動下載 Proxylet Applet] 核取方塊之後，就可以將 Proxylet 配置為在使用者登入時自動啟動。當並未選取 [自動下載 Proxylet Applet] 核取方塊時，使用者可以按一下標準入口網站桌面的 Proxylet 通道中的 [啟動 Proxylet] 連結，以便在需要時取得 Proxylet。

配置 Proxylet 屬性

以管理員身份登入 Portal Server 管理主控台。

選取 [Secure Remote Access] 標籤，然後選取 [Proxylet] 標籤。

從 [選取 DN] 清單方塊選取適當的 DN，或為特定使用者或組織新增現有的 DN。

在 Proxylet 網頁下，請依照下列步驟執行：

屬性名稱	描述
COS 優先順序	從選項清單中選取 Proxylet 通訊的服務類別。
自動下載 Proxylet Applet	按一下 [是] 自動下載 Proxylet Applet 至用戶端機器。以下是下載 Proxylet Applet 的基本要求：
	用戶端機器可執行伺服器應用程式
	用戶端機器的 Java 版本是 1.4 或以上
	瀏覽器是 IE 6.0 sp2 或 Firefox 2.0
	正確的瀏覽器權限
透過 Proxylet 重新整理入口網站	如果您想在啟動 Proxylet 後，重新整理入口網站桌面，並讓流量經由 Proxylet，請按一下 [是]。如果同時啟用 [在 Proxylet 啟動後，重新整理入口網站] 與 [自動下載 Proxylet Applet]，[應用程式 Url] 就不會有作用。
啟動模式	選取 Java Web Start 或 Applet。
預設 Proxylet Applet 連結 IP	鍵入 Proxylet 連結與偵聽瀏覽器請求的 IP 位址。
預設 Proxylet Applet 連接埠	鍵入 Proxylet 偵聽瀏覽器請求的連接埠號碼。
自動代理伺服器配置檔案位置	鍵入包含代理伺服器設定之配置文件的位置，此設定可來自自動代理伺服器配置 (Proxy Auto Configuration, PAC) 檔案或代理伺服器配置清單。

在 [Proxylet 規則] 選項中，依照下列步驟執行：
1. 指定要透過 Proxylet 服務啟動的應用程式的規則。
2. 按一下 [新增]。
3. 在 [網域] 欄位中輸入網域名稱，例如 www.google.com。
4. 輸入 Proxylet 要處理的網域的主機與對應的連接埠號碼。這可確保 Proxylet 解析 HTTP 請求，並且該請求不透過閘道路由。

按一下 [儲存] 完成作業。

配置應用程式至入口網站桌面

例如 HTTP、FTP 等請求，都會經由 Proxylet 服務。Proxylet 規則允許管理者指定基於協定、主機或連接埠的網域對映。使用 Proxylet 規則，您可指定自動代理伺服器配置 (Proxy Auto Configuration, PAC) 檔案中的網域和代理伺服器設定。例如，您可以建立規則，使所有 FTP 流量均透過 Netlet 路由，而所有 HTTP 流量則透過 Proxylet 路由。您可配置需要透過 Proxylet 服務提供的預先定義應用程式。可根據使用者或組織的喜好設定來完成。一旦新增應用程式以讓 Proxylet 處理，使用者桌面的管理就會更簡易，並提供更好的效能。

配置應用程式至入口網站桌面

開始之前

請確定已啟用 Proxylet 選項。如需啟用 Proxylet 的詳細資訊，請參閱「閘道設定檔」一章。

以管理員身份登入 Portal Server 管理主控台。

選取 [入口網站] 標籤，然後選取要修改的入口網站實例。

會顯示 [桌面] 頁面。

從 [選取 DN] 清單方塊選取適當的 DN，或為特定使用者或組織新增現有的 DN。

按一下 [管理容器與通道] 連結。

會顯示 [管理容器與通道] 頁面。

從左窗格中選取 Proxylet。

從右窗格中選取 Appurls 連結。

在 [特性] 精靈中，輸入應用程式名稱與值。依需要修改應用程式特性。例如，輸入應用程式的適當名稱，以及 http://www.example.com。

按一下 [關閉] 完成。

現在，使用者或在組織層級都可檢視入口網站桌面上的應用程式連結。

在 Java Web Start 或 Applet 模式中啟動 Proxylet

您可從入口網站桌面上於 Java Web Start 或 Applet 模式中啟動 Proxylet。

在 Java Web Start 或 Applet 模式中啟動 Proxylet

以 Proxylet 使用者身份登入入口網站桌面。

在首頁中，轉至 Proxylet 通道，並按一下 [編輯] 圖示。

從 [啟動模式] 清單方塊中，選取 [Java Web Start] 或 [Applet] 選項。

按一下 [已完成]。

要呼叫 Proxylet，請從 [Proxylet 通道] 選取應用程式。這會在 Java Web Start 或 Applet 模式中啟動應用程式。
- 如果已選取 [自動下載]，按一下 Proxylet 通道下的應用程式。
- 根據使用者喜好設定，會根據選擇 Java Web Start 或 Apple 模式，來顯示 Proxylet 主控台。接受所有憑證，並繼續使用應用程式。

第 14 章配置 NetFile

本章說明如何透過 Sun Java System Portal Server 管理主控台配置 NetFile。

本章包含下列章節：

NetFile 配置作業

NetFile 配置作業

本節包含下列作業：

配置基本選項

以管理員身份登入 Portal Server 管理主控台。

選取 [ Secure Remote Access] 標籤並選取 [Netfile] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

修改下列屬性：

屬性名稱	描述
COS 優先順序	指定要用來決定屬性值繼承的值。如需有關此屬性的詳細資訊，請參閱「Sun Java System Directory Server 管理指南」。
網域/主機喜好設定	輸入 NetFile 用於連絡允許主機所需要的預設網域。僅在使用者當使用 NetFile 新增主機時未指定完全合格的主機名稱時，這個預設網域值才可用。備註 – 請確定 [預設網域] 欄位不是空白，且包含有效的網域名稱。
預設 WINS/DNS 伺服器	輸入 Netfile 用來存取 Microsoft Windows 主機的 WINS/DNS 伺服器主機位址。備註 – 使用者可以覆寫這個值，方法是在新增機器時，指定不同值。
主機偵測順序	使用 [上移] 和 [下移] 按鈕以指定主機偵測順序。
共用主機	輸入主機名稱或完整合格名稱，並按一下 [新增]。若您提供的主機名稱與使用者配置的主機名稱相符，則兩個資訊集將會合併且使用者指定的值會覆寫您指定的值。配置所有遠端 NetFile 使用者都可透過 NetFile 使用之主機的清單。

備註 –

例如，假設您已配置 4 個共用主機 - sesta、siroe、florizon 與 abc。使用者配置 3 個主機，其中 2 個是 sesta 與 siroe。在這類衝突狀況下，使用者指定的值會覆寫管理員指定的值。florizon 與 abc 也會列示於使用者的 NetFile 中，且使用者可以在那些主機上執行各種不同的作業。即使您在 [拒絕的主機] 清單中列示 florizon，florizon 也會列示於使用者的 NetFile 中，但不可以對 florizon 執行任何作業。

主機類型 －若使用者新增的主機已列示於 [共用主機] 清單中，則會優先使用使用者設定。若在此類型中有衝突，則不會為該使用者新增管理員新增的共用。若使用者與管理員新增相同共用，則此共用將新增，但將優先使用由使用者設定的密碼。

按一下 [儲存] 完成作業。

配置存取權限

以管理員身份登入 Portal Server 管理主控台。

選取 [ Secure Remote Access] 標籤並選取 [Netfile] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

按一下 [存取權限] 並修改下列屬性：

屬性名稱	描述
存取 Windows 主機	選取 [允許] 核取方塊，確定使用者擁有對 Windows 主機的存取權。根據預設，會選取 [允許] 核取方塊。
存取 FTP 主機	選取 [允許] 核取方塊，確定使用者擁有對 FTP 主機的存取權。
存取 NFS 主機	選取 [允許] 核取方塊，確定使用者擁有對 NFS 主機的存取權。
存取 Netware 主機	選取 [允許] 核取方塊，確定使用者擁有對 Netware 主機的存取權。

按一下 [儲存] 完成作業。

配置主機喜好設定

以管理員身份登入 Portal Server 管理主控台。

選取 [ Secure Remote Access] 標籤並選取 [Netfile] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

依預設，因為 [允許/拒絕主機] 清單中有 * 項目，允許使用者透過 NetFile 存取所有主機。若您希望變更這種情況，請於清單中移除 * 項目，並僅指定使用者需要透過 NetFile 存取的主機。否則，您可以在此處保留 * 項目，並於 [拒絕的主機] 清單中指定您要拒絕存取的主機。在這個情況中，允許存取所有的主機，[遭拒的主機] 清單中指定的主機除外。

備註 –
若您拒絕存取某主機，並且使用者已在 NetFile 視窗中新增這個主機，已拒絕的主機將繼續顯示於使用者的 NetFile 視窗中。但使用者將無法在主機上執行任何作業。在 NetFile Java2 中，拒絕的主機，若顯示於應用程式中，會使用紅十字標識以表示其為不可存取。若 [允許的主機] 與 [遭拒的主機] 兩個清單皆為空白，則不允取存取任何主機。

按一下 [儲存] 完成作業。

配置作業喜好設定

以管理員身份登入 Portal Server 管理主控台。

選取 [ Secure Remote Access] 標籤並選取 [Netfile] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

修改下列屬性：

屬性名稱	描述
預設壓縮類型	從下拉式方塊中選取 ZIP 或 GZ，做為預設的檔案壓縮格式。
預設壓縮層級	從下拉式方塊中，選取預設壓縮層級。預設值是 6。
暫存目錄位置	輸入暫存檔案的位置。若伺服器中未存在指定的暫存目錄，則會建立。某些作業必須要使用暫存目錄，例如郵寄檔案。預設的暫存目錄是 `/tmp`。暫存檔會在需要的作業已完成後刪除。備註 – 確保執行 Web 伺服器的 ID (例如 `nobody` 或 `noaccess`) 擁有指定目錄的 `rwx` 權限。還要確保 ID 對於需要的暫時目錄的完整路徑擁有 `rx` 權限。提示 – 您可以為 NetFile 建立單獨的暫存目錄。如果您為 Portal Server 所有模組指定了共用的暫存目錄，磁碟空間可能很快就會用完。如果暫存目錄已無空間，則 NetFile 中的某些作業 (例如郵寄檔案) 將無法運作。
檔案上傳限制 (MB)	在此欄位輸入可上傳檔案大小之最大值。預設值是 5MB。如果上傳的檔案大小超過此處指定的限制，將出現一個錯誤訊息，且無法上傳檔案。若您輸入一個無效的值，NetFile 會將此值重新設定為預設值。您可以為不同的使用者指定不同的檔案上傳大小限制。
搜尋目錄限制	輸入在單一搜尋作業中可以搜尋之目錄的最大數。如果有很多使用者同時登入，此項限制將有助於減少網路擁塞並加快存取速度。預設值為 100。假設使用者有一個名為 `A` 的目錄。並假設 `A` 有 100 個子目錄。若您指定欲搜尋目錄的最大數目為 100，此作業將會搜尋整個 A 目錄並停止。此搜尋作業無法繼續搜尋使用者機器中的其他目錄，因為在 `A` 目錄中已經達到 100 的限制值。已到達累積搜尋限制的搜尋結果會顯示給使用者，並且顯示一個錯誤訊息說明已經超過其搜尋限制。要繼續搜尋，使用者必須手動在下一個目錄中重新啟動搜尋。以深度優先的方式執行搜尋作業。這表示搜尋作業會執行於使用者所選目錄中的所有子目錄，之後再移動至下一個目錄。

按一下 [儲存] 完成作業。

配置作業權限

您可以允許或拒絕使用者在遠端主機上執行下列作業。

以管理員身份登入 Portal Server 管理主控台。

選取 [ Secure Remote Access] 標籤並選取 [Netfile] 標籤。

從 [選取 DN] 清單選取使用者或組織的 DN，或新增 DN。

修改下列屬性：

屬性名稱	描述
檔案重新命名	選取 [允許] 核取方塊，以讓使用者重新命名檔案。預設會選取此選項。
檔案/資料夾刪除	選取 [允許] 核取方塊，以讓使用者刪除檔案與目錄。預設會選取此選項。
檔案上傳	選取 [允許] 核取方塊，以讓使用者上傳檔案。預設會選取此選項。
檔案/資料夾下載	選取 [允許] 核取方塊，以讓使用者下載檔案或目錄。預設會選取此選項。
檔案搜尋	選取 [允許] 核取方塊，以讓使用者執行檔案搜尋作業。預設會選取此選項。
檔案郵寄	選取 [允許] 核取方塊，以讓使用者存取郵件。預設會選取此選項。
檔案壓縮	選取 [允許] 核取方塊，以讓使用者選擇壓縮類型。預設會選取此選項。
變更使用者 ID	選取 [允許] 核取方塊，以讓使用者變更他們的使用者 ID。使用者可使用不同的 ID 連線至使用 NetFile 的主機。在大型組織中，使用者可能有多個使用者 ID。您可能會想限制使用者使用單一使用者 ID。在那種情況下，您可停用 [允許變更使用者 ID] 選項。如此可以避免特定組織中的所有使用者變更他們的使用者 ID，並限制他們必須使用以單一 ID (桌面登入 ID) 透過 NetFile 連接至主機。另一種情況是使用者可能在不同機器上會有不同的登入 ID，在此情況下，您可能希望允許使用者依需要變更 ID。
變更 Microsoft Windows 網域	選取 [允許] 核取方塊，以讓使用者變更預設 Microsoft Windows 網域主機。預設會選取此選項。若使用者指定網域名稱，則需要指定網域的使用者名稱與密碼。若需要使用主機的使用者名稱與密碼，則使用者需要移除 [使用者網域] 名稱欄位中的網域。

備註 –

當未選取上述任何選項時，則僅會在使用者再次登入 Portal Server 桌面時，變更才會生效。

按一下 [儲存] 完成作業。

第 15 章配置安全套接層加速器

本章說明如何配置 Sun Java System Portal Server Secure Remote Access 的各種加速器。

本章包含下列章節：

加速器簡介

外部加速器為專用的輔助處理器，可完全卸載伺服器中央處理器的安全套接層 (Secure Socket Layer, SSL) 運算資源，從而釋出中央處理器以執行其他工作，並提高 SSL 事務處理的處理速度。

Sun Crypto Accelerator 1000

Sun™ Crypto Accelerator 1000 (Sun CA1000) 板是小型的 PCI 板，作為加密輔助處理器提高公開金鑰及對稱式加密的速度。本產品無外部介面。此 PCI 板會透過內部的 PCI 匯流排介面與主機進行通訊。此板的作用是加速電子商務應用程式中針對安全協定的多種計算密集加密演算過程。

許多重要的加密運算功能，如 RSA [7] 與 Triple-DES (3DES) [8] 可從應用程式完全卸載至 Sun CA1000，並以平行的方式執行。如此可釋出中央處理器以執行其他工作，提高 SSL 事務處理的處理速度。

有關詳細步驟，請參閱配置 Crypto Accelerator 1000。

啟用 Crypto Accelerator 1000

請確定已安裝 Portal Server Secure Remote Access 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。如需詳細資訊，請參閱第 10 章, 使用憑證。

啟用 Crypto Accelerator 1000 是一份檢核清單，可協助您在安裝 SSL Accelerator 前追蹤所需資訊，並列出了 Crypto Accelerator 1000 參數與值。

表 15–1 Crypto Accelerator 1000 安裝檢核清單


參數	值
SRA 安裝基底目錄	/opt
SRA 憑證資料庫路徑	/etc/opt/SUNWportal/cert/default
SRA 伺服器憑證暱稱	server-cert
範圍	sra-keystore
範圍使用者	crypta

配置 Crypto Accelerator 1000

請遵照使用者指南中的指示安裝硬體。請參閱：

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

請從光碟安裝下列套件。

SUNWcrypm、SUNWcrypu、SUNWcrysu、SUNWdcar、SUNWcrypr、SUNWcrysl、SUNWdcamn、SUNWdcav

安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)

110383-01、108528-05、112438-01

請確定您有 pk12util 和 modutil 兩項工具。

這些工具會安裝於 /usr/sfw/bin 下。如果在 /usf/sfw/bin 目錄中無法找到工具，您需要手動在 Sun Java System 發行媒體中新增 SUNWtlsu 套裝軟體：

Solaris_[sparc/x86]/Product/shared_components/

建立插槽檔案：

vi /etc/opt/SUNWconn/crypto/slots

並將 "crypta@sra" 置於檔案中的首位且為唯一的行。

建立並設定範圍。
1. 以超級使用者的身份登入。
2. 鍵入以下指令：
  
  cd /opt/SUNWconn/bin/secadm
  
  secadm> create realm=sra
  
  已成功建立範圍 sra。

建立使用者：
1. 鍵入並回應以下指令：
  
  secadm> set realm=sra
  
  secadm{srap}> su
  
  secadm{root@sra}> create user=crypta
  
  Initial password:
  
  Confirm password:
  
  已成功建立使用者 crypta。

以您建立的使用者登入。

secadm{root@sra}> login user=crypta

Password:

secadm{crypta@sra}> show key

此使用者無可用的金鑰。

載入 Sun Crypto 模組。

環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

輸入：

modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/crypto/lib/libpkcs11.so

請利用下列指令確認是否已載入此模組：

modutil -list -dbdir /etc/opt/SUNWportal/cert /default

將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

輸入：

pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "crypta@sra"

現在請執行顯示金鑰指令：

secadm{crypta@sra}> show key

您應可看到此使用者的兩個金鑰。

變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱。

vi /etc/opt/SUNWportal/cert/default/.nickname

將 server-cert 替換為 crypta@sra:server-cert

啟用加速密碼。

SUN CA1000 會加速 RSA 的功能，但僅支援 DES 與 3DES 密碼加速。

修改 /etc/opt/SUNWportal/platform.conf. gateway-profile-name 以啟用加速器：

gateway.enable.accelerator=true

從終端機視窗重新啟動閘道：
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
備註 –
閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結，此連接埠為閘道設定檔中所提及的 https 連接埠。

在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

在此模式下 PDC 將無法運作。

Sun Crypto Accelerator 4000

Sun™ Crypto Accelerator 4000 板是一個基於乙太網路的十億位元網路介面卡，支援 Sun 伺服器上的 IPsec 及 SSL (對稱與非對稱) 加密硬體加速。

除了作為處理未加密網路通訊流量的標準十億位元乙太網路介面卡之外，其亦包含加密硬體以提高加密 IPsec 通訊流量的輸送量。

Crypto Accelerator 4000 板可加速硬體及軟體上的加密演算過程。其亦支援 DES 與 3DES 加密的整批資料加密。

有關詳細步驟，請參閱配置 Crypto Accelerator 4000。

啟用 Crypto Accelerator 4000

請確定已安裝 SRA 以及閘道伺服器憑證 (自簽或由任何 CA 所核發)。下列檢核清單可幫助您在安裝 SSL Accelerator 前跟蹤記錄所需資訊。

啟用 Crypto Accelerator 1000 列出 Crypto Accelerator 4000 參數與值。

表 15–2 Crypto Accelerator 4000 安裝檢核清單


參數	值
Portal Server Secure Remote Access 安裝基底目錄	/opt
SRA 實例	default
SRA 憑證資料庫路徑	/etc/opt/SUNWportal/cert/default
SRA 伺服器憑證暱稱	server-cert
CA4000 金鑰庫	srap
CA4000 金鑰庫使用者	crypta

配置 Crypto Accelerator 4000

請遵照使用者指南中的指示安裝硬體與軟體套件。請參閱：

http://www.sun.com/products-n-solutions/hardware/docs/pdf/816-2450-11.pdf

安裝下列修補程式。(您可從 http://sunsolve.sun.com 取得這些修補程式)：114795

請確定您有下列工具：certutil、pk12util 與 modutil。

這些工具會安裝在 /usr/sfw/bin 目錄下。

如果在 /usf/sfw/bin 目錄中找不到工具，您需要

從 Sun Java System 發行媒體中手動新增 SUNWtlsu 套裝軟體：

Solaris_[sparc/x86]/Product/shared_components/

初始化此板。

執行 /opt/SUNWconn/bin/vcadm 工具以初始化 crypto 板並設定下列值。

初始安全官員姓名：sec_officer

金鑰庫名稱：sra-keystore

在 FIPS 140-2 模式下執行：No

建立使用者。

vcaadm{vca0@localhost, sec_officer}> create user

新使用者名稱：crypta

輸入新使用者密碼：

Confirm password:

已成功建立使用者 crypta。

將記號對映至金鑰庫。

vi /opt/SUNWconn/cryptov2/tokens

將 sra-keystore 附加至檔案。

啟用整批資料加密。

touch /opt/SUNWconn/cryptov2/sslreg

載入 Sun Crypto 模組。

環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

輸入：

modutil -dbdir /etc/opt/SUNWportal/cert/default -add "Sun Crypto Module" -libfile /opt/SUNWconn/cryptov2/lib/libvpkcs11.so

您可利用下列指令確認是否已載入此模組：

modutil -list -dbdir /etc/opt/SUNWportal/cert/default

將閘道憑證及金鑰匯出至「Sun Crypto 模組」。

環境變數 LD_LIBRARY_PATH 必須指向 /usr/lib/mps/secv1/

pk12util -o servercert.p12 -d /etc/opt/SUNWportal/cert/default -n server-cert

pk12util -i servercert.p12 -d /etc/opt/SUNWportal/cert/default -h "sra-keystore"

您可利用下列指令確認是否已匯出此金鑰：

certutil -K -h "sra-keystore" -d /etc/opt/SUNWportal/cert/default

變更 /etc/opt/SUNWportal/cert/default/.nickname 檔案中的暱稱：

vi /etc/opt/SUNWportal/cert/default/.nickname

將 server-cert 替換為 sra-keystore:server-cert

啟用加速密碼。

從終端機視窗重新啟動閘道：
./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway
閘道會提示您輸入金鑰庫密碼。

輸入密碼或 "sra-keystore":crypta:crytpa-password 的個人識別碼

備註 –
閘道會於連接埠上與單線 ServerSocket (非 SSL) 連結，此連接埠為閘道設定檔中所提及的 https 連接埠。

在外來用戶端通訊流量上不會進行任何 SSL 加密或解密。加速器會完成上述動作。

在此模式下 PDC 將無法運作。

外部 SSL 裝置與代理伺服器加速器

在開放模式下，外部 SSL 裝置可在 Portal Server Secure Remote Access (SRA) 之前執行。其提供用戶端與 SRA 之間的 SSL 連結。

可執行下列作業：

啟用外部 SSL 裝置加速器

請確定已安裝 SRA，且已有閘道在開放模式 (HTTP 模式) 下執行。

啟用 HTTP 連線。

下表列出外部 SSL 裝置與代理伺服器加速器的參數與值。

參數

值

SRA 實例

default

閘道模式

http

閘道連接埠

880

外部裝置/代理伺服器連接埠

443

配置外部 SSL 裝置加速器

請遵照使用者指南中的指示安裝硬體與軟體套件。

請安裝必需安裝的修補程式 (若有)。

配置閘道實例以使用 HTTP。

請在 platform.conf 檔案中輸入下列值：

gateway.enable.customurl=true

gateway.enable.accelerator=true

gateway.httpurl=https:// external-device-URL:port-number

有兩種方式可配置閘道通知：
- 當 Access Manager 可於 880 連接埠聯繫閘道機器時 (階段作業通知將會使用 HTTP 方式)，請在 platform.conf 檔案中輸入值。
  
  vi /etc/opt/SUNWportal/platform.conf.default
  
  gateway.protocol=http
  
  gateway.port=880
  - 當 Access Manager 可於 443 連接埠聯繫外部裝置/代理伺服器時 (階段作業通知將會使用 HTTPS 方式)，請在 platform.conf 檔案中輸入值。
    
    vi /etc/opt/SUNWportal/platform.conf.default
    
    gateway.host=External Device/Proxy Host Name
    
    gateway.protocol=https
    
    gateway.port=443

請確定已開啟並執行 SSL 裝置/代理伺服器，且已配置為將通訊流量導向閘道連接埠。

從終端機視窗重新啟動閘道：

./psadmin start-sra-instance -u amadmin -f passwordfile -N profilename -t gateway

參數	值
SRA 實例	default
閘道模式	http
閘道連接埠	880
外部裝置/代理伺服器連接埠	443

第 2 部分 配置 Secure Remote Access 伺服器

第 7 章 配置 Secure Remote Access 伺服器存取控制

配置存取控制

配置存取控制

第 8 章 配置 Secure Remote Access 閘道

配置設定檔核心選項

配置啟動模式

配置啟動模式

配置核心元件

配置元件

配置基本選項

關於 Cookie 管理屬性

關於 HTTP 基本認證屬性

關於 Portal Server 屬性

關於 [將使用者階段作業 Cookie 轉寄至的 URL] 屬性

關於 [從 URL 取得階段作業] 屬性

配置基本選項

配置部署選項

配置代理伺服器設定

配置代理伺服器設定

配置 Rewriter 代理伺服器與 Netlet 代理伺服器

配置 Rewriter 代理伺服器與 Netlet 代理伺服器

配置安全性選項

配置 PDC 與非認證 URL

配置 PDC 與非認證 URL

配置 TLS 與 SSL 選項

配置 TLS 與 SSL 選項

配置效能選項

配置逾時與重試

配置逾時與重試

配置 HTTP 選項

配置 HTTP 選項

監視 Secure Remote Access 效能

監視 Secure Remote Access 效能

配置 Rewriter 選項

配置基本選項

配置基本選項

配置 URI 與規則集的對映

配置 URI 與規則集的對映

配置剖析器與 MIME 類型的對映

配置剖析器與 MIME 類型的對映

配置個人數位憑證認證

配置 PDC 與編碼裝置

在閘道機器上匯入根 CA 憑證

使用指令行選項配置閘道屬性

管理外部伺服器 Cookie 儲存

亦請參閱

啟用將 Cookie 標示為安全

亦請參閱

建立不可使用之代理伺服器的 URL 清單

亦請參閱

管理 URI 對映的規則集

亦請參閱

指定預設網域

亦請參閱

管理 MIME 推測

亦請參閱

建立要剖析的 URI 對映清單

亦請參閱

管理遮罩

亦請參閱

指定遮罩種子字串

亦請參閱

建立不要遮罩的 URI 清單

亦請參閱

讓閘道通協定與原始 URI 通訊協定相同

亦請參閱

第 9 章 在閘道服務中配置 Rewriter

建立 URI 與規則集對映清單

在語法中使用萬用字元

在閘道服務中配置 Rewriter

啟用閘道以重寫所有 URI

指定不要重寫的 URI

將 URI 對應至規則集

指定 MIME 對映

指定預設網域

第 10 章 使用憑證

SSL 憑證簡介

憑證檔案

憑證信任屬性

第 2 部分配置 Secure Remote Access 伺服器

第 7 章配置 Secure Remote Access 伺服器存取控制

第 8 章配置 Secure Remote Access 閘道

第 9 章在閘道服務中配置 Rewriter

第 10 章使用憑證

第 11 章配置 Netlet

第 12 章配置 Netlet 使用私有網域憑證

第 13 章配置 Proxylet

第 14 章配置 NetFile

第 15 章配置安全套接層加速器