IBM Tivoli Directory Server 6.0 的 SSL 配置

核心提示： 在 LDAP 服务器识别出创建客户端的个人证书的证书颁发机构之后，请使用以下命令在 LDAP 客户端上测试 SSL 访问，IBM Tivoli Directory Server 6.0 的 SSL 配置(10)，#idsldapsearch -h server_name -Z -K $CL

在 LDAP 服务器识别出创建客户端的个人证书的证书颁发机构之后，请使用以下命令在 LDAP 客户端上测试 SSL 访问。#　idsldapsearch -h server_name -Z -K $CLIKEY_PATH/clientkey.kdb -P
　 $CLIKEY_PASSWD -N $CLI_LABEL -b "" -s base objectclass=*

现在已经完成了 SSL 设置。

证书和密钥数据库维护

创建新的密钥数据库之后，应指定一个密钥数据库密码。此密码用于保护私钥，并且是能够签署文档或解密使用公钥加密的消息的唯一密钥。最好经常更改密钥数据库密码。

如何更新过期的密钥数据库密码

要更改数据库密码，请键入：#　gsk7cmd -keydb -changepw -db $SRVKEY_PATH/serverkey.kdb -pw $SRVKEY_PASSWD
　 -new_pw newpassw0rd -stash

还必须更新 ibmslapd.conf 文件中的密码。

在 /home/ldapdb2/idsslapd-ldapdb2/etc/ibmslapd.conf 中搜索下面的关键字，并将其替换为文本格式的新密码。ibm-slapdSSLKeyDatabasePW: newpassw0rd

必须重新启动 ibmslapd 进程，新密码才能生效。

#　ibmslapd -k; ibmslapd -n

列出过期的证书

下面的代码显示了如何显示密钥数据库中的证书列表及其过期日期：#　gsk7cmd -cert -list -expiry -db $CLIKEY_PATH/clientkey.kdb -pw
　 $CLIKEY_PASSWD -type cms
　 Certificates in database: /var/adm/ras/SSLKey_CLI/clientkey.kdb
　 COFFEE
　　　Validity
　　　Not Before: Wed Nov 28 02:43:42 CST 2007
　　　Not After: Fri Nov 30 02:43:42 CST 2007
　 VeriSign Class 2 OnSite Individual CA
　　　Validity
　　　Not Before: Mon May 18 19:00:00 CDT 1998
　　　Not After: Mon Oct 12 18:59:59 CDT 2009
　 VeriSign International Server CA - Class 3
　　　Validity
　　　Not Before: Wed Apr 16 19:00:00 CDT 1997
　　　Not After: Mon Oct 24 18:59:59 CDT 2011
　 Verisign Class 3 Public Primary Certification Authority - G2
　　　Validity
　　　Not Before: Sun May 17 19:00:00 CDT 1998
　　　Not After: Tue Aug 01 18:59:59 CDT 2028
　 Verisign Class 2 Public Primary Certification Authority - G2
　　　Validity
　　　Not Before: Sun May 17 19:00:00 CDT 1998
　　　Not After: Tue Aug 01 18:59:59 CDT 2028