驅動程式使用 LDAP 協定與 LDAP 伺服器進行通訊。 大部份的 LDAP 伺服器允許非加密的 (純文字) 連接。 此外,設定正確時,有些 LDAP 伺服器便會允許 SSL 加密的連接。 SSL 連接使用公用/私密金鑰配對,為 TCP/IP 插槽上的所有流量加密。 實際的 LDAP 協定不會變更,但是通訊通道會執行加密。
每一個 LDAP 伺服器的 SSL 連接程序稍有不同。 本文件內含涵蓋使用 Netscape Directory Server 4.12 時進行 SSL 連接的過程。
如果您使用的是另一個 LDAP 伺服器,程序會很相似。
首先您需要安裝伺服器證書。 LDAP 伺服器本身能夠產生證書,但必須由伺服器託管的 CA 簽署證書。 要簽署證書,可使用 Identity Vault 隨附的 CA。
若要產生證書申請:
在 Netscape 主控台的導覽樹狀結構中,選取將與驅動程式通訊的伺服器。
按一下「
」。按一下「
」>「 」。提供申請證書所需的資訊。
根據可能已安裝在主機系統上的證書或記號,您可能會看到一些或以下全部的欄位:
選取記號 (Cryptographic 裝置): 選取「
」。已申請伺服器證書並準備好要安裝了嗎? 選取「
」。如果此主機沒有託管資料庫,它會為您產生一個。
託管資料庫是安裝在本地主機上的金鑰配對及證書資料庫。 當使用內部記號時,託管資料庫便是您安裝金鑰和證書的資料庫。
輸入及確認密碼。
密碼必須包含至少八個字元,其中至少一個必須是數字。 此密碼有助於保障存取您建立的新金鑰資料庫的安全。
依系統指示,繼續提供資訊,然後按「
」。建立託管資料庫之後,按「
」。輸入所要的資訊,然後按「
」。輸入先前選取之記號的密碼,然後按「
」。「證書設定精靈」會為您的伺服器產生證書申請。 當您看到相關網頁,可將申請傳送到憑證授權單位。
將伺服器證書申請複製到另一個文字編輯器。
將檔案另存為 csr.txt。
證書申請電子郵件顯示如下:
-----開始新證書申請----- . . . -----結束新證書申請-----
在 iManager 中,選取「
」>「 」。在「csr.txt,然後按「 」。
」欄位中,瀏覽到選取「
」。指定 SSL 為金鑰類型,然後按「
」。指定證書參數,按「
」,然後按一下「 」。以 Base64 格式將證書儲存為 cert.b64,並儲存到本端磁碟或磁片中。
在 Netscape 主控台的導覽樹狀結構中,選取將與驅動程式連接的伺服器。
按一下「
」。按一下「
」>「 」。啟動精靈,指出您準備安裝證書。
當出現提示時,請提供下列資訊:
選取記號 (Cryptographic 裝置): 選取「
」。已申請伺服器證書並準備好要安裝了嗎? 選取「
」。按「
」。在「
」欄位中,選取「 」。在「
」欄位中,輸入您用來設定託管資料庫的密碼,然後按「 」。在「A: \CERT.B64)。
」欄位中,輸入證書的絕對路徑 (例如產生證書之後,按一下「
」。在成功安裝證書之後,按一下「
」。安裝完證書之後,完成下列動作即可啟用 SSL:
在 Netscape 主控台的導覽樹狀結構中,選取要與 SSL 加密功能一併使用的伺服器。
按一下「
」>「 」>「 」。輸入下列資訊:
啟用 SSL: 選取此選項。
加密系列: 選取「
」。使用的記號: 選取「
」。使用的證書: 選取「
」。用戶端驗證: 由於驅動程式不支援用戶端驗證,請選取「
」。按一下「
」。按一下「
」,然後重新啟動伺服器,如此變更才會生效。在 iManager 中,選取「
」>「 」。瀏覽到「證書權限」(CA) 物件,然後按一下「
」。從下拉式清單選取「
」。按一下「
」。當提示訊息顯示「
」,請按一下「 」。按「
」。在「檔名」欄位中,輸入檔名 (例如 PublicKeyCert),然後選取「 」格式。
按一下「
」。您需要將託管根部證書輸入到 LDAP 伺服器的託管資料庫和用戶端的證書儲存區。
您需要將託管根部證書輸入到 LDAP 伺服器的託管資料庫。 由於伺服器證書是由 Identity Vault 的 CA 簽署的,因此需要將託管資料庫設定成託管 Identity Vault CA。
在 Netscape 主控台中,按一下「
」>「 」>「 」。在「
」,接受內部 (「 」) 的預設值。在「
」中,選取「 」。按兩次「
」。在「安裝證書」對話方塊中,選取「
」。按「
」。選取「 .b64 檔案的完整路徑。
」,輸入包含託管根部證書的按「
」。驗證畫面上的資訊,然後按一下「
」。按一下「
」。您需要將託管根部證書輸入到驅動程式可使用的證書儲存區 (也稱為金鑰儲存區)。
使用 rt.jar 中找到的 KeyTool 類別。
例如,如果公用金鑰證書以 PublicKeyCert.b64 儲存於磁片,而您想要將它輸入到目前目錄中名為 .keystore 的新證書儲存檔案中,請在指令行輸入下列指令:
java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64 -keystore .keystore -storepass keystorepass
當您被要求託管此證書時,請選取「
」,然後按一下「 」。將 .keystore 檔複製到具有 Identity Vault 檔案的相同檔案系統上的任何目錄中。
在 iManager 中,選取「
」>「 」。搜尋驅動程式。
按一下 LDAP 驅動程式物件,然後在「
」頁面中再按它一下。在「.keystore 檔案的完整路徑。
」參數中,輸入下表列出了驅動程式設定值,以及其在範例組態中的預設值。
Table 4-3 驅動程式設定值和預設值
參數 |
範例組態值 |
描述 |
---|---|---|
將 SSL 用在 LDAP 連接上 |
否 |
此參數值應該為「是」或「否」,代表是否要在與 LDAP 伺服器的通訊中使用 SSL 連接。 若要使用 SSL,您也必須要正確地設定 LDAP 伺服器組態。 如需相關資訊,請參閱設定 SSL 連接。 |
SSL 連接埠 |
636 |
除非「將 SSL 用在 LDAP 連接上」設為「是」,否則此參數會被忽略。 其指出 LDAP 伺服器用在安全連接上的連接埠。 |
KeyStore 路徑 (用於 SSL 證書) |
[空白] |
當「將 SSL 用在 LDAP 連接上」設為「是」,此參數值應該是 KeyStore 檔案的完整路徑,而該檔案包含簽署伺服器證書之「證書權限」(CA) 的託管根部證書。 如需建立 KeyStore 檔案的相關資訊,請參閱輸入用戶端的證書儲存區“。 |