任何客户机都可以从配置为通过 HTTP 提供软件包的系统信息库下载软件包。在某些情况下,需要限制访问。限制对系统信息库的访问的一种方法是,在支持客户机证书且启用了 SSL 的 Apache 实例后运行 depot 服务器。
使用 SSL 具有以下优点:
确保在客户机和服务器之间加密传送软件包数据
允许您基于客户机向服务器提供的证书授予对系统信息库的访问权限
要设置安全的系统信息库服务器,必须创建定制证书链:
创建证书颁发机构 (certificate authority, CA),这是证书链的头。
从此 CA 向允许访问系统信息库的客户机颁发证书。
将 CA 的一个副本存储在系统信息库服务器上。每当客户机向服务器提供证书时,都会根据服务器上的 CA 对客户机证书进行验证,从而确定是否授予访问权限。
本节介绍的以下步骤用于创建证书链并将 Apache 前端配置为验证客户机证书:
创建密钥库
创建客户机证书的证书颁发机构
将 SSL 配置添加到 Apache 配置文件
创建自签名服务器证书颁发机构
创建 PKCS12 密钥库
有关 Oracle Solaris 中的 Apache Web 服务器特权的信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用扩展特权锁定资源。