目录    

证书验证属性

证书验证模块属性是组织属性。在“服务配置”下证书验证属性所采用的值将成为证书验证模板的缺省值。为组织注册服务之后,需要创建服务模板。组织的管理员可以在注册后更改缺省值。组织属性不会被组织子树中的条目继承。证书验证属性包括:

在 LDAP 中匹配证书

该选项用于指定是否检查用户登录时提交的证书是否存储在 LDAP Server 中。如果没有找到匹配的证书,用户将被拒绝访问。如果找到匹配的证书,且不需要其他验证,则允许用户访问。在缺省情况下,证书验证模块不会检查用户证书。


Directory Server 中存储的证书不一定是有效的,证书撤回列表中也可能存在该证书。但是,Web 容器可以在登录时检查用户提交的证书的有效性。


用于在 LDAP 中搜索证书的主题 DN 属性

该字段指定证书的 SubjectDN 值的属性,该属性将用于在 LDAP 中搜索证书。该属性必须唯一标识用户条目。搜索将使用实际值。缺省值是 CN

将证书与 CRL 匹配

该选项用于指定是否将用户证书与 LDAP Server 中的证书撤回列表 (CRL) 进行对照。CRL 由发布者的 SubjectDN 中的其中一个属性名称来定位。如果 CRL 中存在该证书,用户将被拒绝访问;如果不存在,则允许用户继续进行操作。在缺省情况下,该属性被禁用。


发生以下情况时,应该撤消证书:证书所有者的状态发生变化,不再拥有使用证书的权限;或证书所有者的专用密钥已经损坏。


用于在 LDAP 中搜索 CRL 的发送者 DN 属性

该字段指定接收到的证书的发布者 SubjectDN 值的属性,该属性将用于在 LDAP 中搜索 CRL。仅在启用“将证书与 CRL 匹配”属性时,才能使用该字段。搜索将使用实际值。缺省值是 CN

用于 CRL 更新的 HTTP 参数

此字段用于指定 HTTP 参数 f 以从 servlet 获得 CRL 用于 CRL 更新。要获得这些参数,请与您的 CA 管理员联系。

启用 OCSP 验证

此参数通过与相应的 OCSP 响应器联系来启用要执行的 OCSP 验证。运行时,将按照以下步骤确定 OCSP 响应器:

如果将 com.sun.identity.authentication.ocspCheck 设置为 false,或者将 com.sum.identity.authentication.ocspCheck 设置为 true,但无法找到 OCSP 响应器,则不能执行 OCSP 验证。


在启用 OCSP 验证之前,请确保 Access Manager 计算机和 OCSP 响应器计算机的时间尽可能同步。而且,Access Manager 计算机的时间不能晚于 OCSP 响应器的时间。例如:

OCSP 响应器计算机 - 12:00:00 pm

Access Manager 计算机 - 12:00:30 pm


存储证书的 LDAP 服务器

该字段用于指定存储证书的 LDAP 服务器的名称和端口号。缺省值是安装 Access Manager 时指定的主机名和端口号。可以使用存储证书的任意 LDAP 服务器的主机名和端口号。格式为:hostname:port

LDAP 搜索起始 DN

该字段指定节点的 DN,应从该节点开始搜索用户证书。该字段没有缺省值。它接受任何有效的 DN。如果指定多个条目,条目前面必须带有本地服务器名称。格式如下所示:

servername|search dn

对于多个条目

servername1|search dn servername2|search dn servername3|search dn...

如果同一搜索找到多个用户,则验证失败。

LDAP Server 主要用户

该字段用于指定存储证书的 LDAP Server 的主要用户的 DN。该字段没有缺省值,它接受任何有效的 DN。需要向主要用户授予读取和搜索 Directory Server 中存储的信息的权限。

LDAP Server 主要口令

该字段用于指定与“LDAP Server 主要用户”字段中指定的用户相关联的 LDAP 口令。该字段没有缺省值,它接受指定主要用户的有效 LDAP 口令。


目录中该值将存储为可读文本。


配置文件 ID 的 LDAP 属性

该字段用于指定 Directory Server 条目中与证书匹配的属性,其值将用于标识正确的用户配置文件。该字段不存在缺省值,它接受用户条目中能够用作用户 ID 的任何有效属性(例如 cnsn 等)。

使用 SSL 进行 LDAP 访问

该选项用于指定是否使用 SSL 来访问 LDAP 服务器。在缺省情况下,证书验证模块不使用 SSL 进行 LDAP 访问。

用于访问用户配置文件的证书字段

该菜单指定应使用证书的“主题 DN”中的哪个字段来搜索匹配的用户配置文件。例如,如果选择 email address,证书验证模块将搜索与用户证书中 emailAddr 属性匹配的用户配置文件。用户将使用匹配的配置文件进行登录。缺省字段是 subject CN。该列表包含以下内容:

用于访问用户配置文件的其他证书字段

如果将“用于访问用户配置文件的证书字段”属性的值设置为 other,则该字段指定将从接收到的证书的 subjectDN 值中选择的属性。验证模块将搜索与该属性值匹配的用户配置文件。

可信赖的远程主机

该属性定义可信赖的主机列表,这些主机是可信赖的,可以向 Access Manager 发送证书。Access Manager 必须检验证书是否是由这些主机中的某一台送出的。此配置仅与 Sun Java System Portal Server 一起使用。

此属性接受以下值:

SSL 端口号

该属性指定安全套接字层的端口号。目前,该属性只由网关 servlet 使用。在添加或更改 SSL 端口号之前,请参见“Access Manager Developer's Guide”第 7 章中的“Policy-Based Resource Management”一节。

验证级别

各种验证方法都单独设置了验证级别。验证级别值表示信任验证的程度。用户进行验证之后,该值将存储在会话的 SSO 令牌中。当 SSO 令牌传递到用户要访问的应用程序时,应用程序将根据存储的值来确定级别是否足以授予用户访问权限。如果 SSO 令牌中存储的验证级别没有达到所需的最小级别,应用程序将提示用户使用具有较高验证级别的服务再次进行验证。缺省值为 0


如果未指定任何验证级别,核心验证属性“缺省验证级别”中指定的值将会存储到 SSO 令牌中。



目录