IBM Tivoli Directory Server 6.0 的 SSL 配置

核心提示： 启用 SSL 时，客户端和 LDAP 注册表之间交换的数据是加密的，IBM Tivoli Directory Server 6.0 的 SSL 配置(2)，同时支持服务器和客户端身份验证， 为服务器身份验证配置 SSL对于服务器身份验证， serverkey.sth—&mdas

启用 SSL 时，客户端和 LDAP 注册表之间交换的数据是加密的。同时支持服务器和客户端身份验证。

为服务器身份验证配置 SSL

对于服务器身份验证，在最初的 SSL 握手过程中，ITDS 向客户端提供 ITDS X.509 证书。如果客户端验证了服务器的证书（如图 1 所示），则在 ITDS 和客户端应用程序之间会建立安全的加密通信通道。

图 1. 配置服务器身份验证

让我们将图 1 所示的服务器身份验证划分为两部分：

为 IBM Tivoli Directory Server 配置 SSL 访问

为 IBM Tivoli Directory Server 客户端配置 SSL 访问

为 IBM Tivoli Directory Server 配置 SSL 访问

需要以下步骤才能为 ITDS 启用支持 SSL 的服务器身份验证：

创建密钥数据库 (CMS) 以包含服务器证书以及服务器的私钥和公钥。#gsk7cmd -keydb -create -db $SRVKEY_PATH/serverkey -pw $SRVKEY_PASSWD
-type cms -stash

成功完成上述命令后，会创建四个文件：

serverkey.kdb——此文件是密钥数据库本身。

serverkey.rdb——此文件用于存储证书请求。

serverkey.crl——此文件用于保存证书吊销列表。

serverkey.sth——此文件存储密码的加密版本。

创建自签名证书和提取证书，并将其用于与服务器安全通信的所有客户端系统上。#　gsk7cmd -cert -create -db $SRVKEY_PATH/serverkey.kdb -pw $SRVKEY_PASSWD -label
　 $SRV_LABEL -dn "CN=`hostname`,O=IBM,C= INDIA" -default_cert yes -expire 999