驱动程序使用 LDAP 协议与 LDAP 服务器通讯。 大多数 LDAP 服务器都允许非加密(纯文本)连接。 此外,配置正确时,有些 LDAP 服务器允许 SSL 加密连接。 通过使用公共/私用密钥对,SSL 连接对所有 TCP/IP 套接字进行加密。 实际的 LDAP 协议并不会更改,但通讯通道会执行加密。
根据 LDAP 服务器的不同,启用 SSL 连接的步骤也会有所差别。 本文档介绍了当使用 Netscape Directory Server 4.12 时启用 SSL 连接的过程。
如果使用其它 LDAP 服务器,步骤是类似的。
首先,需要安装服务器证书。 LDAP 服务器本身可以生成证书,但是该证书必须得到服务器所信任的 CA 的签名。 您可以使用 Identity Vault 附带的 CA 来对证书签名。
生成证书请求:
在 Netscape 控制台的导航树中,选择驱动程序要与其通讯的服务器。
单击 (打开服务器)。
单击《任务》> (证书安装向导)。
提供相关信息以请求证书。
根据可能已安装在主机系统上的证书或令牌,您可能会看到下列部分或全部字段:
Select a Token (Cryptographic Device)(选择令牌(加密设备)): 选择 (内部(软件))。
Is the Server Certificate Already Requested and Ready to Install?(服务器证书是否已请求并准备好安装?) 选择《否》。
如果该主机的信任数据库不存在,则会为您生成一个。
信任数据库是指安装在本地主机上的密钥对和证书数据库。 当使用内部令牌时,信任数据库是您在其中安装密钥和证书的数据库。
键入并确认口令。
口令必须至少包含八个字符,其中必须至少有一个数字。 此口令帮助确保对您创建的新密钥数据库访问的安全。
根据提示继续提供相关信息,然后单击《下一步》。
创建信任数据库后,单击《下一步》。
键入请求的信息,然后单击《下一步》。
键入您先前选择的令牌的口令,然后单击《下一步》。
《证书安装向导》会为您的服务器生成证书请求。 当您看到这一页时,可以向证书授权者发送证书请求。
将服务器证书请求复制到记事本或其它文本编辑器中。
将文件另存为 csr.txt。
证书请求电子邮件应符合下面的格式:
-----BEGIN NEW CERTIFICATE REQUEST-----
.
.
. -----END NEW CERTIFICATE REQUEST----
在 iManager 中,选择《Novell 证书服务器》 > (颁发证书)。
在《文件名》字段中找到 csr.txt,然后单击《下一步》。
选择 (组织证书授权者)。
将 SSL 指定为密钥类型,然后单击《下一步》。
指定证书参数,单击《下一步》,然后单击《完成》。
将证书以 Base64 格式另存在本地磁盘或软盘中,名称为 cert.b64。
在 Netscape 控制台的导航树中,选择驱动程序要与其连接的服务器。
单击《打开》。
单击《任务》>《证书安装向导》。
启动向导,表示您已准备好安装证书。
得到提示后,提供以下信息:
选择令牌(加密设备): 选择《内部(软件)》。
服务器证书是否已请求并准备好安装? 选择《是》。
单击《下一步》。
在 (安装目标)字段中,选择《此服务器》。
在《口令》字段中,键入您用于安装信任数据库的口令,然后单击《下一步》。
在 (证书位于以下文件中)字段中,键入证书的绝对路径(例如 A: \CERT.B64)。
证书生成后,单击《添加》。
证书成功安装后,单击《完成》。
安装证书后,请完成下列步骤以激活 SSL:
在 Netscape 控制台的导航树中,选择您要对其应用 SSL 加密的服务器。
单击《打开》>《配置》>《加密》。
输入以下信息:
启用 SSL: 选择此选项。
Cipher Family(加密法系列): 选择 。
Token to Use(要使用的令牌): 选择《内部(软件)》。
Certificate to Use(要使用的证书): 选择 。
Client Authentication(客户机鉴定): 由于驱动程序不支持客户机鉴定,请选择 (允许客户机鉴定)。
单击《保存》。
单击《任务》,然后重新启动服务器,使更改生效。
在 iManager 中,单击 (eDirectory 管理)>《修改对象》。
找到证书授权者 (CA) 对象,然后单击《确定》。
从下拉列表中选择《证书》。
单击《导出》。
显示 (是否要导出证书的私用密钥?)提示时,单击《否》。
单击《下一步》。
在《文件名》字段中,键入文件名(例如 PublicKeyCert),然后选择 格式。
单击《导出》。
您需要将可信根证书导入 LDAP 服务器的信任数据库和客户机的证书存储区。
您需要将可信根证书导入 LDAP 服务器的信任数据库。 由于服务器证书已经由 Identity Vault 的 CA 签名,因此需要配置信任数据库以信任 Identity Vault CA。
在 Netscape 控制台中,单击《任务》>《证书安装向导》>《下一步》。
在《选择令牌》中,请接受默认的《内部(软件)》。
在《服务器证书是否已请求并准备好安装》中,选择《是》。
单击《下一步》两次。
在《安装目标》对话框中,选择 (可信的证书授权者)。
单击《下一步》。
选择《证书位于以下文件中》,然后键入到包含可信根证书的 .b64 文件的完整路径。
单击《下一步》。
校验屏幕上的信息,然后单击《添加》。
单击《完成》。
您需要将可信根证书导入驱动器可以使用的证书存储区(也称为密钥存储区)中。
使用 rt.jar 中的密钥工具类。
例如,如果您的公共密钥证书的名称是 PublicKeyCert.b64,保存在软盘上,并且要将其导入当前目录中名为 .keystore 的新证书存储区文件中,请在命令行处输入以下命令:
java sun.security.tools.KeyTool -import -alias TrustedRoot -file a:\PublicKeyCert.b64 -keystore .keystore -storepass keystorepass
当系统询问是否信任此证书时,选择《是》,然后按 键。
将 .keystore 文件复制到具有 Identity Vault 文件的同一文件系统中的任何目录。
在 iManager 中,选择 >《Identity Manager 概述》。
搜索驱动程序。
单击 LDAP 驱动程序对象,然后在《Identity Manager 概述》页中再次单击它。
在 (密钥存储区路径)参数中,输入 .keystore 文件的完整路径。
下表列出了样本配置中的驱动程序设置及其默认值。
Table 4-3 驱动程序设置及其默认值
|
参数 |
样本配置值 |
说明 |
|---|---|---|
|
使用 SSL 进行 LDAP 连接 |
否 |
此参数的值为《是》或《否》。它指示与 LDAP 服务器通讯时是否使用 SSL 连接。 要使用 SSL,还必须正确配置 LDAP 服务器。 有关更多信息,请参考配置 SSL 连接。 |
|
SSL 端口 |
636 |
除非《使用 SSL 进行 LDAP 连接》设置为《是》,否则此参数将被忽略。 它指示 LDAP 服务器使用哪个端口进行安全连接。 |
|
密钥存储区路径(SSL 证书) |
[空] |
当《使用 SSL 进行 LDAP 连接》设置为《是》时,此参数的值应为包含可信根证书的密钥存储区文件的完整路径,其中的可信根证书属于为服务器证书签名的证书授权者 (CA)。 有关创建密钥存储区文件的更多信息,请参见导入客户机的证书存储区中。 |