返回
ibm tivoli directory server 6.0 的 ssl 配置

ibm tivoli directory server 6.0 的 ssl 配置

ID:22371002

大小:99.00 KB

页数:19页

时间:2018-10-28

ibm tivoli directory server 6.0 的 ssl 配置_第1页
ibm tivoli directory server 6.0 的 ssl 配置_第2页
ibm tivoli directory server 6.0 的 ssl 配置_第3页
ibm tivoli directory server 6.0 的 ssl 配置_第4页
ibm tivoli directory server 6.0 的 ssl 配置_第5页
资源描述:

《ibm tivoli directory server 6.0 的 ssl 配置》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、IBMTivoliDirectoryServer6.0的SSL配置  引言  安全套接字层(SSL)是一种工业标准协议,它使用对称密钥和公钥加密机制在Inter上提供安全通信。SSL协议运行在TCP/IP之上和应用程序协议(如轻量级目录访问协议(LDAP)和超文本传输协议(HTTP))之下,并为传输数据提供信任和隐私。为集中式数据库配置安全设置时,管理员可能需要为访问目录数据库实现其他安全措施。AIX通过IBMTivoliDirectoryServer(ITDS)支持SSL安全。安装和配置证书后,客户端可以通过安全端口(636)和

2、非安全端口(389)进行通信。  先决条件  应安装ITDS6.0文件集数据包,并将其更新为最新级别。  安装GlobalSecurityGSKit文件集。  ITDS应该与缺省ldapdb2实例一起运行,如下所示:# ps-e

3、grep-E[i]bmslapd

4、[i]bmdiradm 503982   - 0:00ibmdiradm 540812 pts/0 1:35ibmslapd  SSL如何与ITDS一起工作?  在常规LDAP连接中,客户端连接到端口389,并且信息以纯文本方式交换。没有任何方法可以保证LDAP客户端能够

5、连接到正确的LDAP服务器。黑客能够感染您的DNS,或者可能在正确的计算机上安装自己的服务器。  将SSL与ITDS一起使用可以防止这些漏洞。  首先,SSL可以验证是否连接到了正确的服务器。当客户端和服务器连接时,它们会执行特殊的SSL握手,在握手过程中涉及服务器和客户端交换加密密钥,这些密钥是使用X.509证书描述的。如果客户端希望确认它是否连接到正确的服务器,则需要验证在握手期间发送的服务器证书。这可通过检查您信任的、其证书未被撤消的人员是否签名(信任)证书来完成。例如,服务器的证书可能已经由Verisign(.verisi

6、gn.)签名,您决定需要信任Verisign来签名合法证书。  启用SSL时,客户端和LDAP注册表之间交换的数据是加密的。同时支持服务器和客户端身份验证。  为服务器身份验证配置SSL  对于服务器身份验证,在最初的SSL握手过程中,ITDS向客户端提供ITDSX.509证书。如果客户端验证了服务器的证书(如图1所示),则在ITDS和客户端应用程序之间会建立安全的加密通信通道。  图1.配置服务器身份验证  让我们将图1所示的服务器身份验证划分为两部分:  为IBMTivoliDirectoryServer配置SSL访问  为I

7、BMTivoliDirectoryServer客户端配置SSL访问  为IBMTivoliDirectoryServer配置SSL访问  需要以下步骤才能为ITDS启用支持SSL的服务器身份验证:  创建密钥数据库(CMS)以包含服务器证书以及服务器的私钥和公钥。#gsk7cmd-keydb-create-db$SRVKEY_PATH/serverkey-ps-stash  成功完成上述命令后,会创建四个文件:  serverkey.kdb此文件是密钥数据库本身。  serverkey.rdb此文件用于存储证书请求。  serve

8、rkey.crl此文件用于保存证书吊销列表。  serverkey.sth此文件存储密码的加密版本。  创建自签名证书和提取证书,并将其用于与服务器安全通信的所有客户端系统上。# gsk7cmd-cert-create-db$SRVKEY_PATH/serverkey.kdb-pe`,O=IBM,C=INDIA-default_certyes-expire999  可以创建自签名证书,并将其仅用于测试环境或内部网环境中。在生产环境或Inter环境中,从认可的证书颁发机构(CA)(如Verisign)获取商业证书。  检查keydb

9、中的SRV_CERT证书的可用性。请参见下面列出的代码。# gsk7cmd-cert-list-db$SRVKEY_PATH/serverkey.kdb-p/ras/SSLKey_SRV/serverkey.kdb Entrust.GlobalSecureServerCertificationAuthority Entrust.GlobalClientCertificationAuthority Entrust.ClientCertificationAuthority Entrust.CertificationAuthority(

10、2048) Entrust.SecureServerCertificationAuthority VeriSignClass3SecureServerCA VeriSignClass3PublicPrimaryCertificationAuthor

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。