IBM Tivoli Directory Server 6.0 的 SSL 配置

核心提示： 此步骤为服务器身份验证完成 SSL 的配置，为服务器和客户端身份验证配置 SSL此类型的身份验证在 LDAP 客户端和 LDAP 服务器之间提供双向握手，IBM Tivoli Directory Server 6.0 的 SSL 配置(8)，必须在客户端系统上建立证书，这样，在 SSL 通

此步骤为服务器身份验证完成 SSL 的配置。

为服务器和客户端身份验证配置 SSL

此类型的身份验证在 LDAP 客户端和 LDAP 服务器之间提供双向握手。必须在客户端系统上建立证书，这样，客户端对服务器进行身份验证之后，服务器才可以请求客户端的证书，并使用该证书验证客户端的身份。

图 2. 配置服务器和客户端身份验证

要为客户端系统建立证书，请执行以下步骤：

在客户端上创建密钥数据库 (CMS) 文件。#gsk7cmd -keydb -create -db $CLIKEY_PATH/clientkey -pw $CLIKEY_PASSWD
　 -type cms -stash

在密钥数据库中创建个人证书及其关联的私钥。在 SSL 通信过程中，此个人证书代表 Tivoli Directory Server 客户端系统的身份。#gsk7cmd -cert -create -db $CLIKEY_PATH/clientkey.kdb -pw $CLIKEY_PASSWD -label
　 $CLI_LABEL -dn "CN=`hostname`,O=IBM,C=INDIA"

列出 keydb 中的证书。#　gsk7cmd -cert -list -db $CLIKEY_PATH/clientkey.kdb -pw $CLIKEY_PASSWD
　 Certificates in database: /var/adm/ras/SSLKey_CLI/clientkey.kdb
　 fluffy01
　 Entrust.net Global Secure Server Certification Authority
　 Entrust.net Global Client Certification Authority
　 Entrust.net Client Certification Authority
　 Entrust.net Certification Authority (2048)
　 Entrust.net Secure Server Certification Authority
　 VeriSign Class 3 Secure Server CA
　 VeriSign Class 3 Public Primary Certification Authority
　 VeriSign Class 2 Public Primary Certification Authority
　 VeriSign Class 1 Public Primary Certification Authority
　 VeriSign Class 4 Public Primary Certification Authority - G2
　 VeriSign Class 3 Public Primary Certification Authority - G2
　 VeriSign Class 2 Public Primary Certification Authority - G2
　 VeriSign Class 1 Public Primary Certification Authority - G2
　 VeriSign Class 4 Public Primary Certification Authority - G3
　 VeriSign Class 3 Public Primary Certification Authority - G3
　 VeriSign Class 2 Public Primary Certification Authority - G3
　 VeriSign Class 1 Public Primary Certification Authority - G3
　 Thawte Personal Premium CA
　 Thawte Personal Freemail CA
　 Thawte Personal Basic CA
　 Thawte Premium Server CA
　 Thawte Server CA
　 RSA Secure Server Certification Authority
-->CLI_CERT