Sun Java(TM) System Directory Server 联机帮助 |
“服务器配置”的“加密”选项卡
使用该选项卡配置目录的安全套接字层 (SSL)。
启用该服务器的 SSL。 选中该复选框即可启用目录的 SSL 通讯。清除该复选框将禁用 SSL。
如果您已经选中了此复选框以便在 Sun Java System Server Console 中使用 SSL,但又禁用了服务器的 SSL,则该复选框将自动取消选择,而且您需要重新启动控制台。
如果在后缀已配置了属性加密时您禁用了 SSL,系统会要求您确认。禁用 SSL 时,系统会对属性加密要求 SSL,而且对已加密属性进行的任何操作都将失败。
使用此密码族。启用 SSL 后,如果您希望服务器将某个或某些密码族用于 SSL 通讯,请选中这个或这些密码族旁边的复选框。
Sun Java System Directory Server 当前支持两个密码族:RSA 和 Fortezza。内部安全设备只支持 RSA。如果您在使用 Fortezza 卡,则将看到 Fortezza 密码族列在此处。
密码族
可以为每个密码族设置以下选项。
安全设备。 选择要执行加密计算的设备。默认情况下,数据将由 Directory Server 软件在内部进行加密。该列表中的其他选项仅在您使用外部硬件模块时才可用。
证书。 从已安装的证书列表中选择服务器要使用的证书。只有在系统上安装了证书后才能使用 SSL。请参阅 Sun Java System Directory Server Administration Guide的第11章中“获取并安装服务器证书”。
密码设置。单击此按钮打开“加密首选项”对话框,从对所选证书可用的密码中选择要使用的密码。
客户机验证
此标题下的选项将决定客户机是否必须通过 SSL 使用证书进行验证。
不允许客户机验证。 如果不希望客户机应用程序提供证书以进行验证,请选择此选项。
允许客户机验证。如果允许客户机应用程序可使用简单验证也可使用客户机验证来连接到服务器,则选择此选项。
如果正在通过复制方式使用基于证书的验证,则必须选择使用者服务器上的“允许客户机验证”或“要求客户机验证”。
要求客户机验证。选择此选项以强制客户机应用程序使用通过 SSL 的客户机验证连接到服务器。选择此选项时,不允许使用简单验证。
在 Sun Java System Server Console 中使用 SSL。如果希望使用 SSL 保护 Sun Java System Server Console 和目录服务器之间的通讯安全,则选择此复选框。
Sun Java System Server Console 和服务器之间的通讯将通过安全通道来进行,但是没有客户机验证,即便选择了“要求客户机验证”,也不会进行验证。
DSML 客户机验证。 选择下面的某个策略以接受 DSML 请求:
HTTP 基础(在 HTTP 头中使用验证)。服务器将执行标识映射以从请求的 HTTP 头的验证信息中确定绑定 DN。使用此设置,对安全 HTTPS 端口的 DSML 请求将通过 SSL 进行加密,而不使用客户机证书。
首先尝试使用客户机证书。 服务器将尝试使用发送到安全 HTTPS 端口的证书来验证客户机。如果客户机验证在使用证书时失败,则服务器将使用请求的 HTTP 头中的验证信息来执行标识映射。
仅使用客户机证书。 客户机必须将 DSML 请求发送到安全 HTTPS 端口并提供有效的客户机证书。所有其他的 DSML 请求都将被拒绝。
请参阅
Sun Java System Directory Server Administration Guide 的第 1 章中的“配置 DSML”。
Sun Java System Directory Server Administration Guide 的第 11 章中的“执行安全”。