test

Sun Identity Manager 8.1 业务管理员指南

管理服务器加密

通过使用 Identity Manager 服务器加密功能,您可以创建新的 3DES 服务器加密密钥,然后使用 3DES、PKCS#5 或 AES(高级加密标准)加密对这些密钥进行加密。只有具备“安全管理员”权能的用户才可以运行“管理服务器加密”任务(该任务是从“管理服务器加密”页中配置的)。

Procedure访问“管理服务器加密”页

要打开“管理服务器加密”页,请

  1. 从菜单栏中选择“服务器任务”>“运行任务”。

  2. 在显示“可用任务”页时,单击“管理服务器加密”以打开“管理服务器加密”页。

    图 12–1 “管理服务器加密”页

    该图展示了“管理服务器加密”页

Procedure配置服务器加密

可以使用该页配置服务器和对象加密、网关密钥、备份选项以及执行模式。

  1. 输入一个任务名称。

    此字段默认为管理服务器加密。如果不想使用默认设置,您可以输入不同的任务名称。

  2. 选择下面的一个或多个选项。

    • 管理服务器加密。选择该选项可配置服务器加密。

      将显示下面的附加选项:

      • 服务器加密密钥的加密。您必须指定一种加密服务器加密密钥的方法。加密类型可以包括 Triple DES、PKCS#5 (DES) 或 PKCS#5 (AES)。

        注 –

        • 该页上仅显示可在您的系统上实例化的加密类型。例如,如果您的系统不支持 PKCS#5 (AES),则仅显示 Triple DES 和 PKCS#5 (DES)。

        • PKCS#5 (AES) 要求您为运行 Identity Manager 的 JVM 下载并配置 "Unlimited Strength Jurisdiction Policy File"。有关详细信息,请参阅 Java 供应商文档。

          另外,PKCS#5 (AES) 还要求您为运行 Identity Manager 的 JVM 安装 Bouncy Castle JCE provider jar 文件并将其配置为 JCE 提供者。此 jar 文件封装在 Identity Manager 安装映像中,它位于 wshome/WEB-INF/lib 目录中。提供了两个 jar 文件:bcprov-jdk15-137.jarbcprov-jdk16-137.jar,它们分别用于相应的 Java 版本。有关详细信息,请参阅 Java 供应商文档和 Bouncy Castle 文档。

      • 生成新的服务器加密密钥,并设置为当前的服务器加密密钥。选择此选项可生成新的服务器加密密钥。选择此选项之后生成的每一份加密数据都是使用此密钥进行加密。生成新的服务器加密密钥不会影响应用于已存在的加密数据的密钥。

      • 生成新的安全随机 PBE 密码。选择此选项可在每次启动服务器时基于服务器特定的秘密生成新密码。如果未选择此选项,或者未将服务器配置为使用基于密码的加密,Identity Manager 将使用默认密钥加密服务器密钥。

    • 管理对象加密。选择此选项可指定应重新加密的对象类型以及要使用的加密方法。

      • 对象类型的加密。选择显示的加密类型之一,其中可能包括 Triple DES(默认)、AES 256 位密钥、AES 192 位密钥或 AES 128 位密钥。

        注 –

        使用 192 或 256 位密钥的 AES 要求您为运行 Identity Manager 的 JVM 下载并配置 "Unlimited Strength Jurisdiction Policy File"。有关详细信息,请参阅 Java 供应商文档。

        该页上仅显示可在您的系统上实例化的加密类型。例如,如果您的系统不支持使用 "Unlimited Strength Jurisdiction Policy File" 的 AES 192 或 256 位密钥,则仅显示 Triple DES 和 AES 128 位密钥选项。

      • 选择要使用当前服务器加密密钥重新加密的对象类型。选择表中列出的一种或多种 Identity Manager 对象类型。

    • 管理网关密钥。选择此选项可指定网关加密。

      将显示以下选项:

      • 选择网关密钥选项。请选择以下任一选项:

        • 生成新密钥并同步所有网关。最初启用安全网关环境时选择此选项。此选项生成一个新的网关密钥并将其传送至所有网关。

        • 使用当前网关密钥同步所有网关。选择此选项可同步任何新网关,或者同步尚未与新网关密钥通信的网关。若在使用当前网关密钥将所有网关同步时有一个网关关闭,或要为新网关强制执行密钥更新,请选择此选项。

      • 网关密钥类型。选择显示的密钥类型之一,其中可能包括 Triple DES、AES 256 位密钥、AES 192 位密钥或 AES 128 位密钥。

        注 –

        使用 192 或 256 位密钥的 AES 要求您为运行 Identity Manager 的 JVM 下载并配置 "Unlimited Strength Jurisdiction Policy File"。有关详细信息,请参阅 Java 供应商文档。

        该页上仅显示可在您的系统上实例化的加密类型。例如,如果您的系统不支持使用 "Unlimited Strength Jurisdiction Policy File" 的 AES 192 或 256 位密钥,则仅显示 Triple DES 和 AES 128 位密钥选项。

    • 导出服务器加密密钥进行备份。选择此选项可将现有服务器加密密钥导出为 XML 格式的文件。选择此选项后,Identity Manager 会另显示一个字段以便您指定导出该密钥的路径和文件名。

      注 –

      如果使用的是 PKCS#5 加密并选择生成和设置新的服务器加密密钥,则选择此选项。而且,您还应将导出的密钥存储在可移动介质上,并存放在安全的位置(请勿放在网络上)。

  3. 选择执行模式。

    您可以在前台或后台(默认设置)运行此任务。

    注 –

    如果您选择使用新生成的密钥重新加密一个或多个对象类型,执行该任务会需要一些时间,且最好在后台运行此任务。

  4. 在此页上配置完选项后,单击“启动”。