IBM Tivoli Directory Server 6.0 的 SSL 配置

核心提示： 创建了自签名证书之后，必须提取证书才能供与服务器进行安全通信的客户端系统使用：#gsk7cmd -cert -create -db $SRVKEY_PATH/serverkey.kdb -pw $SRVKEY_PASSWD -label $SRV_LABEL -dn "CN=`h

创建了自签名证书之后，必须提取证书才能供与服务器进行安全通信的客户端系统使用：#gsk7cmd -cert -create -db $SRVKEY_PATH/serverkey.kdb -pw $SRVKEY_PASSWD -label
　 $SRV_LABEL -dn "CN=`hostname`,O=IBM,C= INDIA" -default_cert yes -expire 999

在为密钥数据库提供了自签名证书之后，请将目录服务器配置为使用此证书。

使用文本编辑器按以下格式创建一个 LDIF 文件，即 file.ldif。　 dn: cn=SSL,cn=Configuration
　 changetype: modify
　 replace: ibm-slapdSslAuth
　 ibm-slapdSslAuth: serverAuth
　 -
　 replace: ibm-slapdSecurity
　 ibm-slapdSecurity: SSL
　 dn: cn=SSL,cn=Configuration
　 changetype: modify
　 replace: ibm-slapdSSLKeyDatabase
　 ibm-slapdSSLKeyDatabase: /var/adm/ras/SSLKey_SRV/serverkey.kdb
　 -
　 replace:ibm-slapdSslCertificate
　 ibm-slapdSslCertificate: SRV_CERT
　 -
　 replace: ibm-slapdSSLKeyDatabasePW
　 ibm-slapdSSLKeyDatabasePW: key4server

现在将此 LDIF 文件提供给目录服务器。#　idsldapmodify -D cn=admin -w admin -i file.ldif -p 389
　 modifying entry cn=SSL,cn=Configuration
　 modifying entry cn=SSL,cn=Configuration

查看 /home/ldapdb2/idsslapd-ldapdb2/etc/ibmslapd.conf 文件，并注意下面箭头所示项中的更改。　 dn: cn=SSL, cn=Configuration
　 cn: SSL
　 ibm-slapdSecurePort: 636
　 #ibm-slapdSecurity must be one of none/SSL/SSLOnly/TLS/SSLTLS
-->ibm-slapdSecurity: SSL
　 #ibm-slapdSslAuth must be one of serverAuth/serverClientAuth
-->ibm-slapdSslAuth: serverAuth
-->ibm-slapdSslCertificate: SRV_CERT
　 ibm-slapdSslCipherSpec: AES
　 ibm-slapdSslCipherSpec: AES-128
　 ibm-slapdSslCipherSpec: RC4-128-MD5
　 ibm-slapdSslCipherSpec: RC4-128-SHA
　 ibm-slapdSslCipherSpec: TripleDES-168
　 ibm-slapdSslCipherSpec: DES-56
　 ibm-slapdSslCipherSpec: RC4-40-MD5
　 ibm-slapdSslCipherSpec: RC2-40-MD5
　 ibm-slapdSslFIPSProcessingMode: false
-->ibm-slapdSslKeyDatabase: /var/adm/ras/SSLKey_SRV/serverkey.kdb
　 ibm-slapdSSLKeyDatabasePW: {AES256}5+6hlNHZ8DFvhRRjmRP9GA==
　 objectclass: top
　 objectclass: ibm-slapdConfigEntry
　 objectclass: ibm-slapdSSL