4.3 設定 SSL 連接

驅動程式使用 LDAP 協定與 LDAP 伺服器進行通訊。 大部份的 LDAP 伺服器允許非加密的 (純文字) 連接。 此外,設定正確時,有些 LDAP 伺服器便會允許 SSL 加密的連接。 SSL 連接使用公用/私密金鑰配對,為 TCP/IP 插槽上的所有流量加密。 實際的 LDAP 協定不會變更,但是通訊通道會執行加密。

每一個 LDAP 伺服器的 SSL 連接程序稍有不同。 本文件內含涵蓋使用 Netscape Directory Server 4.12 時進行 SSL 連接的過程。

如果您使用的是另一個 LDAP 伺服器,程序會很相似。

4.3.1 步驟 1: 產生伺服器證書

首先您需要安裝伺服器證書。 LDAP 伺服器本身能夠產生證書,但必須由伺服器託管的 CA 簽署證書。 要簽署證書,可使用 Identity Vault 隨附的 CA。

若要產生證書申請:

  1. 在 Netscape 主控台的導覽樹狀結構中,選取將與驅動程式通訊的伺服器。

  2. 按一下「開啟伺服器」。

  3. 按一下「任務」>「證書設定精靈」。

  4. 提供申請證書所需的資訊。

    根據可能已安裝在主機系統上的證書或記號,您可能會看到一些或以下全部的欄位:

    選取記號 (Cryptographic 裝置): 選取「內部 (軟體)」。

    已申請伺服器證書並準備好要安裝了嗎? 選取「」。

    如果此主機沒有託管資料庫,它會為您產生一個。

    託管資料庫是安裝在本地主機上的金鑰配對及證書資料庫。 當使用內部記號時,託管資料庫便是您安裝金鑰和證書的資料庫。

  5. 輸入及確認密碼。

    密碼必須包含至少八個字元,其中至少一個必須是數字。 此密碼有助於保障存取您建立的新金鑰資料庫的安全。

  6. 依系統指示,繼續提供資訊,然後按「下一步」。

  7. 建立託管資料庫之後,按「下一步」。

  8. 輸入所要的資訊,然後按「下一步」。

  9. 輸入先前選取之記號的密碼,然後按「下一步」。

    「證書設定精靈」會為您的伺服器產生證書申請。 當您看到相關網頁,可將申請傳送到憑證授權單位。

4.3.2 步驟 2: 傳送證書申請

  1. 將伺服器證書申請複製到另一個文字編輯器。

  2. 將檔案另存為 csr.txt

    證書申請電子郵件顯示如下:

    -----開始新證書申請-----

        . 

        . 

        . -----結束新證書申請-----

  3. 在 iManager 中,選取「Novell Certificate Server」>「發出證書」。

  4. 在「檔名」欄位中,瀏覽到 csr.txt,然後按「下一步」。

  5. 選取「組織證書權限」。

  6. 指定 SSL 為金鑰類型,然後按「下一步」。

  7. 指定證書參數,按「下一步」,然後按一下「完成」。

  8. 以 Base64 格式將證書儲存為 cert.b64,並儲存到本端磁碟或磁片中。

4.3.3 步驟 3: 安裝證書

  1. 在 Netscape 主控台的導覽樹狀結構中,選取將與驅動程式連接的伺服器。

  2. 按一下「開啟」。

  3. 按一下「任務」>「證書設定精靈」。

  4. 啟動精靈,指出您準備安裝證書。

  5. 當出現提示時,請提供下列資訊:

    選取記號 (Cryptographic 裝置): 選取「內部 (軟體)」。

    已申請伺服器證書並準備好要安裝了嗎? 選取「」。

  6. 按「下一步」。

  7. 在「安裝證書」欄位中,選取「這個伺服器」。

  8. 在「密碼」欄位中,輸入您用來設定託管資料庫的密碼,然後按「下一步」。

  9. 在「證書位於此檔案」欄位中,輸入證書的絕對路徑 (例如 A: \CERT.B64)。

  10. 產生證書之後,按一下「新增」。

  11. 在成功安裝證書之後,按一下「完成」。

4.3.4 步驟 4: 在 Netscape Directory Server 4.12 中啟用 SSL

安裝完證書之後,完成下列動作即可啟用 SSL:

  1. 在 Netscape 主控台的導覽樹狀結構中,選取要與 SSL 加密功能一併使用的伺服器。

  2. 按一下「開啟」>「組態」>「加密」。

  3. 輸入下列資訊:

    啟用 SSL: 選取此選項。

    加密系列: 選取「RSA」。

    使用的記號: 選取「內部 (軟體)」。

    使用的證書: 選取「伺服器證書」。

    用戶端驗證: 由於驅動程式不支援用戶端驗證,請選取「允許用戶端驗證」。

  4. 按一下「儲存」。

  5. 按一下「任務」,然後重新啟動伺服器,如此變更才會生效。

4.3.5 步驟 5: 從 eDirectory 網路樹內輸出託管根部。

  1. 在 iManager 中,選取「eDirectory 管理」>「修改物件」。

  2. 瀏覽到「證書權限」(CA) 物件,然後按一下「確定」。

  3. 從下拉式清單選取「證書」。

  4. 按一下「輸出」。

  5. 當提示訊息顯示「您要輸出私密金鑰及證書嗎?」,請按一下「」。

  6. 按「下一步」。

  7. 在「檔名」欄位中,輸入檔名 (例如 PublicKeyCert),然後選取「Base64」格式。

  8. 按一下「輸出」。

4.3.6 步驟 6: 輸入託管根部證書

您需要將託管根部證書輸入到 LDAP 伺服器的託管資料庫和用戶端的證書儲存區。

輸入到 LDAP 伺服器的託管資料庫

您需要將託管根部證書輸入到 LDAP 伺服器的託管資料庫。 由於伺服器證書是由 Identity Vault 的 CA 簽署的,因此需要將託管資料庫設定成託管 Identity Vault CA。

  1. 在 Netscape 主控台中,按一下「任務」>「證書設定精靈」>「下一步」。

  2. 在「選取記號」,接受內部 (「軟體」) 的預設值。

  3. 在「已申請伺服器證書並準備好要安裝了嗎?」中,選取「」。

  4. 按兩次「下一步」。

  5. 在「安裝證書」對話方塊中,選取「託管證書權限」。

  6. 按「下一步」。

  7. 選取「證書位於此檔案」,輸入包含託管根部證書的 .b64 檔案的完整路徑。

  8. 按「下一步」。

  9. 驗證畫面上的資訊,然後按一下「新增」。

  10. 按一下「完成」。

輸入用戶端的證書儲存區

您需要將託管根部證書輸入到驅動程式可使用的證書儲存區 (也稱為金鑰儲存區)。

  1. 使用 rt.jar 中找到的 KeyTool 類別。

    例如,如果公用金鑰證書以 PublicKeyCert.b64 儲存於磁片,而您想要將它輸入到目前目錄中名為 .keystore 的新證書儲存檔案中,請在指令行輸入下列指令:

    java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64

-keystore .keystore -storepass keystorepass

  2. 當您被要求託管此證書時,請選取「」,然後按一下「Enter」。

  3. .keystore 檔複製到具有 Identity Vault 檔案的相同檔案系統上的任何目錄中。

  4. 在 iManager 中,選取「Identity Manager」>「Identity Manager 概觀」。

  5. 搜尋驅動程式。

  6. 按一下 LDAP 驅動程式物件,然後在「Identity Manager 驅動程式概觀」頁面中再按它一下。

  7. 在「KeyStore 路徑」參數中,輸入 .keystore 檔案的完整路徑。

4.3.7 步驟 7: 調整驅動程式設定

下表列出了驅動程式設定值,以及其在範例組態中的預設值。

Table 4-3 驅動程式設定值和預設值

參數

範例組態值

描述

將 SSL 用在 LDAP 連接上

此參數值應該為「是」或「否」,代表是否要在與 LDAP 伺服器的通訊中使用 SSL 連接。 若要使用 SSL,您也必須要正確地設定 LDAP 伺服器組態。

如需相關資訊,請參閱設定 SSL 連接

SSL 連接埠

636

除非「將 SSL 用在 LDAP 連接上」設為「是」,否則此參數會被忽略。 其指出 LDAP 伺服器用在安全連接上的連接埠。

KeyStore 路徑 (用於 SSL 證書)

[空白]

當「將 SSL 用在 LDAP 連接上」設為「是」,此參數值應該是 KeyStore 檔案的完整路徑,而該檔案包含簽署伺服器證書之「證書權限」(CA) 的託管根部證書。

如需建立 KeyStore 檔案的相關資訊,請參閱輸入用戶端的證書儲存區“。