下列小節簡述 OES 2 如何為 OES 2 以及所有的 HTTPS 服務自動化證書管理。
依照預設,在 SLES 10 SP1 上的 HTTPS 服務是設定成使用位於 /etc/ssl/servercerts 中的兩個檔案並且受到保護,這樣便只有 root 與一些特定群組可以讀取它們:
serverkey.pem: 這包含伺服器未經處理的私密金鑰。
servercert.pem: 這包含伺服器的證書。
OES 2 服務 (例如 Apache、OpenWBEM 和 Novell 遠端管理員) 也會設定成使用這些證書。
OES 2 增強證書管理如下:
當您安裝 eDirectory™ 時,可以選擇設定所有的 HTTPS 服務以使用 eDirectory 證書,這表示您可以擁有要安裝的網路樹之 eDirectory 證書管理中心、產生伺服器的金鑰與證書,並以 eDirectory 證書來取代自行簽署的臨時 SLES 證書。
對於許多組織而言,這是消除在本章開頭提到安全性弱點的理想方法。
如果您同時安裝 SLES 10 SP1 與 OES 2,預設會啟用設定所有 HTTPS 服務的選項。如果您將 OES 2 新增至現有的 SLES 10 SP1 伺服器,就必須手動選取該選項。這將可防止安裝覆寫之前安裝在 SLES 10 伺服器上的任何協力廠商金鑰與證書。
金鑰與證書檔案安裝在下列位置:
產生 eDirectory 金鑰與證書的元件是 Novell 證書伺服器 (Novell Certificate Server™)。
這個證書伺服器提供本來就整合到 Novell eDirectory 中的公用金鑰加密服務。使用伺服器時,您可以製作、核發和管理使用者與伺服器證書,以保護透過如網際網路等公用通訊通道的機密資料傳輸。
如需有關「Novell 證書伺服器」的完整資訊,請參閱《Novell Certificate Server 3.3 管理指南》。
伺服器自我供應啟用時,可以讓 eDirectory 中的伺服器物件建立自己的證書。如果您要「PKI 狀態檢查」自動維護伺服器證書,就必須啟用這個選項。
如需有關這個特性的詳細資訊,請參閱《Novell Certificate Server 3.3 管理指南》中的 X.509 憑證自我供應
。
每當證書伺服器啟動時,PKI 狀態檢查就會執行。
如果您已啟用伺服器自我供應,則當偵測到下列任何項目時,狀態檢查例行工作會自動取代伺服器證書:
證書並不存在。
證書已過期。
證書即將過期。
在證書上的 IP 或 DNS 資訊不符合伺服器組態。
核發證書的證書管理中心 (CA) 與目前所設定的 CA 不同。
如需有關這個特性的詳細資訊,請參閱《Novell Certificate Server 3.3 管理指南》中的 PKI 狀態檢查
》。
組織的 CA 可以設定成扮演子 CA 的角色。這可讓多個網路樹共用通用根證書。根證書可以儲存在實體保護的網路樹中。它也可以和協力廠商 PKI 整合在一起。如需詳細資訊,請參閱《Novell Certificate Server 3.3 管理指南
》中的 附屬證書管理中心》。