![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
认证
认证用于验证身份。
服务器以两种方式使用认证:
- 数字签名。数字签名表示通过学习计算的唯一签名,用以确保可计帐性。可以将数字签名比作贴有您照片的信用卡。要验证给您发送消息的那个人的身份,请查看发送方的数字证书。
- 数字证书。数字证书(或数字标识)类似于您有一张信用卡,而卡上的照片是银行经理和您的亲切合影。商家会更加信任您,这不仅是因为您就是信用卡照片上的人,而且也因为银行经理看起来很信任您。
您将根据是否信任第三方(证明发送方的人或代理)来决定是否信任发送方。将发出数字证书的第三方称为认证中心 (CA) 或证书签署者。
数字证书包含:- 已证明的人的公用密钥
- 已证明的人或组织的名称和地址,也称为专有名称
- CA 的数字签名
- 证书的签发日期
- 证书的到期日期
输入您的专有名称作为证书请求的一部分。已进行数字签名的证书包含您的专有名称和 CA 的专有名称。
您可以请求以下某个证书:- VeriSign 或某个其他 CA 签发的用于在因特网上进行商业活动的服务器证书。要获取受支持 CA 的列表,请参阅“从外部 CA 提供商购买证书”。
- 您为自己的专用 Web 网络创建的服务器证书。
CA 将其公用密钥和专有名称绑在一起进行广播,以便人们可以将它们作为可信的 CA 证书添加到自己的 Web 服务器和浏览器。当您将来自某个 CA 的公用密钥和证书指定成为可信的 CA 证书时,您的服务器将信任拥有来自此 CA 的证书的任何人。您可以将许多可信 CA 作为服务器的一部分。HTTP Server 包含多个缺省可信 CA 证书。
您可以使用服务器随附的 IBM® 密钥管理实用程序 (ikeyman) 添加或除去可信 CA。
可以使用本机 z/OS® 密钥管理 (gskkyman) 来添加或除去可信 CA。
要安全地通信,传输中的接收方必须信任向发送方签发证书的 CA。无论接收方是 Web 服务器或浏览器,该情况都适用。如果发送方对消息进行签名,那么接收方必须具有由对应的 CA 进行签名的证书以及指定为可信 CA 证书的公用密钥。