以下几节介绍如何使用 OES 2 自动化 OES 2 的证书管理和所有的 HTTPS 服务:
默认情况下,对 SLES 10 SP1 上的 HTTPS 服务进行了配置,使其可以使用 /etc/ssl/servercerts 中的两个文件,并且这些服务受到保护,只有 root 组和某些特定的组可以读取它们:
serverkey.pem: 包含服务器的原始私用密钥。
servercert.pem: 包含服务器的证书。
还可以配置 OES 2 服务(如 Apache、OpenWBEM 和 Novell 远程管理器)以使用这些证书。
OES 2 加强了如下证书管理:
安装 eDirectory™ 时,您可以选择配置所有的 HTTPS 服务来使用 eDirectory 证书,这意味着您可以为正在进行安装的树指派 eDirectory 证书授权者、为服务器生成密钥和证书,并将自我签名的临时 SLES 证书替换为 eDirectory 证书。
对很多组织来说,这是消除本章开头所提及的安全漏洞的一个理想方法。
如果您要同时安装 SLES 10 SP1 和 OES 2,默认情况下,将启用配置所有 HTTPS 服务的选项。如果要将 OES 2 添加到当前的 SLES 10 SP1 服务器中,则必须手动选择该选项。这样可以防止安装覆盖先前安装在 SLES 10 服务器上的任何第三方密钥和证书。
密钥和证书文件安装在以下位置:
Novell Certificate Server™ 是生成 eDirectory 密钥和证书的部件。
此证书服务器可提供原本就集成在 Novell eDirectory 中的公共密钥加密服务。使用该服务器,您可以创建、颁发和管理用户证书以及服务器证书,从而保护通过公共通讯通道(如因特网)传送的机密数据。
有关 Novell 证书服务器的完整信息,请参见《Novell Certificate Server 3.3 管理指南》(Novell Certificate Server 3.3 Administration Guide)。
服务器自助配置信息提供激活后,将允许 eDirectory 中的服务器对象创建它们自己的证书。如果希望 PKI 运行状况检查自动维护服务器证书,则必须激活此选项。
有关此功能的更多信息,请参见《Novell Certificate Server 3.3 管理指南》中的X.509 证书自助配置信息提供
只要证书服务器启动,就会运行 PKI 运行状况检查。
如果您已启用了服务器自助配置信息提供,则在检测到以下任何情况时,运行状况检查例程将自动替换服务器证书:
证书不存在。
证书已过期。
证书即将过期。
证书上的 IP 或 DNS 信息与服务器配置不匹配。
颁发证书的证书授权者 (CA) 与当前配置的 CA 不同。
有关此功能的更多信息,请参见《Novell Certificate Server 3.3 管理指南》中的PKI 运行状况检查
。
可以将组织 CA 配置为子 CA。这将允许多个树共享常用根证书。根证书可以存储在受物理保护的树中。它还可以与第三方 PKI 集成。有关更多信息,请参见《Novell Certificate Server 3.3 管理指南》中的从属证书授权者
。