IBM Tivoli Directory Server 6.0 的 SSL 配置

核心提示：引言 安全套接字层 (SSL) 是一种工业标准协议，它使用对称密钥和公钥加密机制在 Internet 上提供安全通信，IBM Tivoli Directory Server 6.0 的 SSL 配置，SSL 协议运行在 TCP/IP 之上和应用程序协议（如轻量级目录访问协议 (LDAP) 和超文本传输协议 (HTTP)

引言

安全套接字层 (SSL) 是一种工业标准协议，它使用对称密钥和公钥加密机制在 Internet 上提供安全通信。SSL 协议运行在 TCP/IP 之上和应用程序协议（如轻量级目录访问协议 (LDAP) 和超文本传输协议 (HTTP)）之下，并为传输数据提供信任和隐私。为集中式数据库配置安全设置时，管理员可能需要为访问目录数据库实现其他安全措施。AIX 通过 IBM Tivoli Directory Server (ITDS) 支持 SSL 安全。安装和配置证书后，客户端可以通过安全端口 (636) 和非安全端口 (389) 进行通信。

先决条件

应安装 ITDS 6.0 文件集数据包，并将其更新为最新级别。

安装 Global Security GSKit 文件集。

ITDS 应该与缺省 ldapdb2 实例一起运行，如下所示：#　ps -e | grep -E "[i]bmslapd|[i]bmdiradm"
　 503982　　　-　0:00 ibmdiradm
　 540812　pts/0　1:35 ibmslapd

SSL 如何与 ITDS 一起工作？

在常规 LDAP 连接中，客户端连接到端口 389，并且信息以纯文本方式交换。没有任何方法可以保证 LDAP 客户端能够连接到正确的 LDAP 服务器。黑客能够感染您的 DNS，或者可能在正确的计算机上安装自己的服务器。

将 SSL 与 ITDS 一起使用可以防止这些漏洞。

首先，SSL 可以验证是否连接到了正确的服务器。当客户端和服务器连接时，它们会执行特殊的 SSL“握手”，在握手过程中涉及服务器和客户端交换加密密钥，这些密钥是使用 X.509 证书描述的。如果客户端希望确认它是否连接到正确的服务器，则需要验证在握手期间发送的服务器证书。这可通过检查您信任的、其证书未被撤消的人员是否签名（信任）证书来完成。例如，服务器的证书可能已经由 Verisign (www.verisign.com) 签名，您决定需要信任 Verisign 来签名合法证书。