欢迎来到天天文库
浏览记录
ID:22371002
大小:99.00 KB
页数:19页
时间:2018-10-28
《ibm tivoli directory server 6.0 的 ssl 配置》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、IBMTivoliDirectoryServer6.0的SSL配置 引言 安全套接字层(SSL)是一种工业标准协议,它使用对称密钥和公钥加密机制在Inter上提供安全通信。SSL协议运行在TCP/IP之上和应用程序协议(如轻量级目录访问协议(LDAP)和超文本传输协议(HTTP))之下,并为传输数据提供信任和隐私。为集中式数据库配置安全设置时,管理员可能需要为访问目录数据库实现其他安全措施。AIX通过IBMTivoliDirectoryServer(ITDS)支持SSL安全。安装和配置证书后,客户端可以通过安全端口(636)和
2、非安全端口(389)进行通信。 先决条件 应安装ITDS6.0文件集数据包,并将其更新为最新级别。 安装GlobalSecurityGSKit文件集。 ITDS应该与缺省ldapdb2实例一起运行,如下所示:# ps-e
3、grep-E[i]bmslapd
4、[i]bmdiradm 503982 - 0:00ibmdiradm 540812 pts/0 1:35ibmslapd SSL如何与ITDS一起工作? 在常规LDAP连接中,客户端连接到端口389,并且信息以纯文本方式交换。没有任何方法可以保证LDAP客户端能够
5、连接到正确的LDAP服务器。黑客能够感染您的DNS,或者可能在正确的计算机上安装自己的服务器。 将SSL与ITDS一起使用可以防止这些漏洞。 首先,SSL可以验证是否连接到了正确的服务器。当客户端和服务器连接时,它们会执行特殊的SSL握手,在握手过程中涉及服务器和客户端交换加密密钥,这些密钥是使用X.509证书描述的。如果客户端希望确认它是否连接到正确的服务器,则需要验证在握手期间发送的服务器证书。这可通过检查您信任的、其证书未被撤消的人员是否签名(信任)证书来完成。例如,服务器的证书可能已经由Verisign(.verisi
6、gn.)签名,您决定需要信任Verisign来签名合法证书。 启用SSL时,客户端和LDAP注册表之间交换的数据是加密的。同时支持服务器和客户端身份验证。 为服务器身份验证配置SSL 对于服务器身份验证,在最初的SSL握手过程中,ITDS向客户端提供ITDSX.509证书。如果客户端验证了服务器的证书(如图1所示),则在ITDS和客户端应用程序之间会建立安全的加密通信通道。 图1.配置服务器身份验证 让我们将图1所示的服务器身份验证划分为两部分: 为IBMTivoliDirectoryServer配置SSL访问 为I
7、BMTivoliDirectoryServer客户端配置SSL访问 为IBMTivoliDirectoryServer配置SSL访问 需要以下步骤才能为ITDS启用支持SSL的服务器身份验证: 创建密钥数据库(CMS)以包含服务器证书以及服务器的私钥和公钥。#gsk7cmd-keydb-create-db$SRVKEY_PATH/serverkey-ps-stash 成功完成上述命令后,会创建四个文件: serverkey.kdb此文件是密钥数据库本身。 serverkey.rdb此文件用于存储证书请求。 serve
8、rkey.crl此文件用于保存证书吊销列表。 serverkey.sth此文件存储密码的加密版本。 创建自签名证书和提取证书,并将其用于与服务器安全通信的所有客户端系统上。# gsk7cmd-cert-create-db$SRVKEY_PATH/serverkey.kdb-pe`,O=IBM,C=INDIA-default_certyes-expire999 可以创建自签名证书,并将其仅用于测试环境或内部网环境中。在生产环境或Inter环境中,从认可的证书颁发机构(CA)(如Verisign)获取商业证书。 检查keydb
9、中的SRV_CERT证书的可用性。请参见下面列出的代码。# gsk7cmd-cert-list-db$SRVKEY_PATH/serverkey.kdb-p/ras/SSLKey_SRV/serverkey.kdb Entrust.GlobalSecureServerCertificationAuthority Entrust.GlobalClientCertificationAuthority Entrust.ClientCertificationAuthority Entrust.CertificationAuthority(
10、2048) Entrust.SecureServerCertificationAuthority VeriSignClass3SecureServerCA VeriSignClass3PublicPrimaryCertificationAuthor
此文档下载收益归作者所有