test

Sun Identity Manager 8.1 业务管理员指南

配置数字签名的批准和操作

可以使用以下信息和过程来设置数字签名。可以对以下项目进行数字签名:

本节讨论的主题说明了将证书和 CRL 添加到 Identity Manager 以获得签名批准所需的服务器端和客户端配置。

Procedure为签名的批准启用服务器端配置

  1. 打开系统配置对象以进行编辑并设置 security.nonrepudiation.signedApprovals=true

    有关编辑系统配置对象的说明,请参见编辑 Identity Manager 配置对象

    如果使用的是 PKCS11,您还必须设置 security.nonrepudiation.defaultKeystoreType=PKCS11

    如果使用的是自定义 PKCS11 密钥提供程序,您还必须设置 security.nonrepudiation.defaultPKCS11KeyProvider=您的提供程序名称

    注 –

    有关何时需要编写自定义提供程序的详细信息,请参阅 REF(Resource Extension Facility,资源扩充工具)工具包中的以下项目:


    com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc)
REF/transactionsigner/SamplePKCS11KeyProvider

    REF(Resource Extension Facility,资源扩充工具)工具包是在产品 CD 上的 /REF 目录中提供的,或者是随安装映像提供的。

  2. 将证书颁发机构 (Certificate Authority, CA) 的证书添加为信任证书。为此,必须首先获得证书的副本。

    例如,如果要使用 Microsoft CA,请按类似以下的步骤操作:

    1. 转至 http://IPAddress/certsrv,然后通过管理权限登录。

    2. 选择 Retrieve the CA certificate or certificate revocation list,然后单击 Next

    3. 下载并保存 CA 证书。

  3. 将证书作为信任证书添加到 Identity Manager 中:

    1. 从管理员界面中选择安全性,然后选择证书。Identity Manager 将显示“证书”页。

      图 6–6 “证书”页

      该图展示了示例“证书”页

    2. 在“信任 CA 证书”区域中,单击添加。Identity Manager 将显示“导入证书”页。

    3. 浏览到信任证书后将其选中,然后单击 Import

      证书将立即显示在信任证书列表中。

  4. 添加 CA 的证书撤销列表 (Certificate Revocation List, CRL):

    1. 在 Certificates 页的 CRLs 区域中单击 Add

    2. 输入 CA CRL 的 URL。

      注 –

      • 证书撤销列表 (Certificate Revocation List, CRL) 是已被撤销或无效的证书序列号的列表。

      • CA CRL 的 URL 可以是 http 或 LDAP。

      • 对于每个 CA,从中分发 CRL 的 URL 都各不相同,可以通过浏览 CA 证书的 CRL 分发点扩展部分来确定其 URL。

  5. 单击测试连接验证 URL。

  6. 单击保存

  7. 使用 jarsigner 对 applets/ts2.jar 签名。

    注 –

    有关详细信息,请访问 http://java.sun.com/j2se/1.5.0/docs/tooldocs/windows/jarsigner.html。Identity Manager 附带的 ts2.jar 文件使用自签名证书来签名,不应将其用于生产系统。在生产中,应使用由信任 CA 颁发的代码签名证书重新对此文件签名。

Procedure使用 PKCS12 为签名的批准启用服务器端配置

以下配置信息适用于使用 PKCS12 获得的签名批准。先获取证书和专用密钥,然后将其导出到 PKCS#12 密钥库中。例如,如果要使用 Microsoft CA,请按类似以下的步骤操作:

开始之前

Identity Manager 现在至少需要使用 JRE 1.5。

  1. 使用 Internet Explorer 浏览到 http://IPAddress /certsrv,然后通过管理权限登录。

  2. 选择“请求证书”,然后单击“下一步”。

  3. 选择“高级请求”,然后单击“下一步”。

  4. 单击“下一步”。

  5. 选择 "User for Certificate Template"。

  6. 选择以下选项:

    1. 编辑密钥为可导出。

    2. 启用强密钥保护。

    3. 使用本地机器存储。

  7. 单击“提交”,然后单击“确定”。

  8. 单击“安装此证书”。

  9. 选择“运行”-> "mmc" 以启动 mmc。

  10. 添加证书插件:

    1. 选择“控制台”->“添加/删除插件”。

    2. 单击“添加”。

    3. 选择计算机帐户。

    4. 单击“下一步”,然后单击“完成”。

    5. 单击“关闭”。

    6. 单击“确定”。

    7. 转至“证书”->“个人”->“证书”。

    8. 右键单击“管理员所有任务”->“导出”。

    9. 单击“下一步”。

    10. 单击“下一步”确认导出专用密钥。

    11. 单击“下一步”。

    12. 输入密码,然后单击“下一步”。

    13. 文件 CertificateLocation

    14. 单击“下一步”,然后单击“完成”。单击“确定”进行确认。

      注 –

      请注意在客户端配置的步骤 10l(密码)和步骤 10m(证书位置)中使用的信息。您将需要此信息来对批准签名。

Procedure使用 PKCS11 为签名的批准启用客户端配置

如果将 PKCS11 用于签名的批准

  1. 请参阅 REF 工具包中的以下资源以了解配置信息:


    com.sun.idm.ui.web.applet.transactionsigner.DefaultPKCS11KeyProvider (Javadoc)
REF/transactionsigner/SamplePKCS11KeyProvider

    REF(Resource Extension Facility,资源扩充工具)工具包是在产品 CD 上的 /REF 目录中提供的,或者是随安装映像提供的。