IBM Tivoli Directory Server 6.0 的 SSL 配置

核心提示： 您必须停止并重新启动 Tivoli Directory Server 和管理守护进程，更改才会生效，IBM Tivoli Directory Server 6.0 的 SSL 配置(5)， a. Stopping directory server. # ibmslapd -k -I &qu

您必须停止并重新启动 Tivoli Directory Server 和管理守护进程，更改才会生效。　 a. Stopping directory server.
　 # ibmslapd -k -I "instance name"
　 b. Stopping administrator daemon
　 # ibmdirctl -h host_name -D ldap_admin -w ldap_pw admstop
　 c. Starting administrator daemon
　 # ibmdiradm "instance name"
　 d. Starting directory server
　 # ibmslapd -n -I "instance name"

为 ITDS 客户端配置 SSL 访问

在 LDAP 服务器上启用 SSL 访问后，您可以在客户端系统上设置 SSL 访问。与为服务器创建密钥数据库文件类似，您必须在客户端系统上创建密钥数据库文件。请注意，对于要对 LDAP 服务器进行身份验证的客户端，该客户端必须识别为该 LDAP 服务器创建了证书的证书颁发机构 (CA)。如果 LDAP 服务器使用的是自签名证书，客户端必须可以识别作为信任的根（证书颁发机构）生成 LDAP 服务器证书的系统。

要配置 LDAP 客户端，使之对 LDAP 服务器进行 SSL 访问，在客户端计算机上按照以下说明进行操作：

使用 GSKit 密钥管理实用工具创建一个密钥数据库 (CMS) 文件。#　gsk7cmd -keydb -create -db $CLIKEY_PATH/clientkey -pw $CLIKEY_PASSWD
　-type cms -stash

将提取的证书文件从 LDAP 服务器复制到客户端计算机。#　rcp -r $LDAP_SERVER:$SRVKEY_PATH/EXTRACT/ $CLIKEY_PATH/

将服务器证书（从证书颁发机构获得的证书或自签名证书）作为信任的签署者导入到客户端的密钥数据库。为要添加的签署者证书输入一个标签。如果证书由证书颁发机构创建，则可以使用证书颁发机构的名称作为标签。对于自签名证书，可使用 LDAP 服务器的名称作为标签。#　gsk7cmd -cert -add -db $CLIKEY_PATH/clientkey.kdb -pw $CLIKEY_PASSWD -label
　 $LDAP_SERVER -file $CLIKEY_PATH/serverkey.arm