使用 HTTP Server CA 公用程式

  • 憑證管理中心選項概觀
  • 開始之前
  • 安裝 WebSphere Application Server
  • 確定必要的 MIME 類型都在伺服器配置檔中
  • 用 IKEYMAN 來建立金鑰資料庫及憑證
  • 將 CA 金鑰資料庫及憑證複製到 CA 公用程式目錄中
  • 將您的 CA 金鑰資料庫匯出到 CA 公用程式中
  • 存取 HTTP Server CA 公用程式
  • 使用 HTTP Server CA 來處理從屬站及伺服器憑證
  • CA 處理概觀
  • 管理者作業
  • 匯出 CA 金鑰資料庫
  • 處理憑證要求
  • 使用者作業
  • 將 CA 憑證下載至 Web 瀏覽器
  • 要求瀏覽器憑證
  • 接收經核准的瀏覽器憑證
  • 網站管理作業
  • 為另一個伺服器下載 CA 憑證
  • 要求伺服器憑證
  • 接收經核准的伺服器憑證
  • 相關資訊
  • 憑證管理中心選項概觀

    若要在 Internet 上處理商務來往,建議您向外部憑證管理中心 (CA) (如:VeriSign) 購買安全伺服器憑證。 如需支援之 CA 的清單,請參閱憑證管理中心

    如果您作自己本身的 CA,就可以對自己或其它任何人的憑證要求簽名。 如果您只需要在專屬 Web 網路中的憑證,而不是用於外部的 Internet 商業, 不妨採用這個方法。 從屬站必須具備瀏覽器 (例如 Netscape Navigator 或 Microsoft Internet Explorer), 才能接收您的 CA 憑證,並指定您為授信 CA。

    如果以您自己的 CA 來作業,您可以使用您伺服器的 IBM 金鑰管理公用程式 (IKEYMAN 及 HTTP Server CA), 或是向 CA 提供業者購買憑證管理中心軟體。

    註: 如果您預期要管理超過 250 個以上的憑證, 請考慮向 CA 提供業者購買軟體。 此限制是根據可儲存在 CA 金鑰資料庫之憑證要求的數量而定。 在儲存 250 個憑證要求之後,公用程式的效能會非常地慢。

    開始之前

    安裝 WebSphere Application Server

    在使用 HTTP Server CA 之前,您必須安裝 WebSphere Application Server, 以作為您的 servlet 引擎。

    欲取得安裝作業指示,請參閱 WebSphere Application Server 入門 版本 2。 您可以從 WebSphere Application Server 網站來存取這本書及其它 Application Server 說明文件。

    確定必要的 MIME 類型都在伺服器配置檔中

    為能正確地下載從屬站憑證,伺服器配置檔中必須包含下列 AddType 指引及 MIME 類型:

    AddType .cer application/x-x509-user-cert 7bit   0.5 #使用者憑證
    AddType .der application/x-x509-ca-cert   binary 1.0 #瀏覽器 CA 憑證
    

    這些 MIME 類型皆內含在預設的伺服器配置檔中。

    用 IKEYMAN 來建立金鑰資料庫及憑證

    在開始使用 CA 公用程式之前,請先用 IKEYMAN 來建立您的伺服器及 CA 金鑰資料庫、 伺服器憑證及自簽的 CA 憑證。 若需說明,請參閱建立自簽憑證

    註: 身為「管理者」,您可以選擇在送出 CA 憑證要求後,自動處理這些要求。 若使用自動處理程序,您就不需要以手動的方式來處理每一個憑證要求。 如果您要使用自動處理程序,請在使用 IKEYMAN 來設定您的 CA 金鑰資料庫時, 建立 CA 金鑰資料庫密碼的隱藏檔。

    將 CA 金鑰資料庫及憑證複製到 CA 公用程式目錄中

    在您建立了您的 CA 金鑰資料庫及自簽的 CA 憑證之後, 請將 cakey.kdb 檔案複製到 CA 公用程式目錄中:

    您也可以選擇將您的加密 CA 金鑰資料庫密碼儲存在隱藏檔中。 如果隱藏檔的所在目錄與 CA 金鑰資料庫檔案 (cakey.kdb) 相同, 便會自動核准所有傳送出去供 CA 公用程式簽名的憑證。 如果您建立了一個隱藏檔 (cakey.sth),請將該檔案複製到與 cakey.kdb 檔案相同的目錄中。

    將您的 CA 金鑰資料庫匯出到 CA 公用程式中

    伺服器上的 cakey.kdb 檔案必須匯出至 CA 公用程式, 格式必須為從屬站及伺服器可使用的格式。 相關詳細指示,請參閱匯出 CA 金鑰資料庫

    存取 HTTP Server CA 公用程式

    欲存取 HTTP Server CA 公用程式,請參閱 URL:

     http://your.server.name/CAServlet/Welcome.html
    

    使用 HTTP Server CA 來處理從屬站及伺服器憑證

    CA 處理概觀

    CA 的工作是為了要驗證從屬站或伺服器而發出憑證。 您必須確定提出要求的人員具有合法的權利來要求憑證。 在您驗證過人員的要求權後,您可以用 HTTP Server CA 來建立已簽名的憑證。

    此處理的輸入為從屬站或伺服器憑證要求。 而輸出為以您的私密金鑰簽名的憑證。

    在您處理了從屬站或伺服器憑證之後:

    1. 您要告知從屬站或伺服器來下載您的 CA 憑證。 詳細步驟顯示在將 CA 憑證下載至 Web 瀏覽器為另一個伺服器下載 CA 憑證

    2. 您要告知從屬站或伺服器來下載您已簽名的憑證 (CA 簽名的憑證), 並將它接收在其從屬站或伺服器作業金鑰資料庫中。 詳細步驟顯示在接收經核准的瀏覽器憑證接收經核准的伺服器憑證

    在完成這些步驟之後,從屬站或伺服器便可使用其 CA 簽名的憑證來與您專用之 Web 網路中的其它 HTTP Server 及 Web 瀏覽器進行安全通信。

    管理者作業

    匯出 CA 金鑰資料庫

    使用下列步驟來匯出伺服器上的 CA 金鑰資料庫 (cakey.kdb), 格式為瀏覽器及伺服器可使用的格式。 在起始設定您的憑證管理中心之後,您便不需要重複這些步驟。

    註: 您必須先用 IKEYMAN 來建立 cakey.kdb 檔案,才能使用 CA 公用程式。 若需說明,請參閱建立自簽憑證

    欲匯出瀏覽器及伺服器的 CA 金鑰資料庫檔案:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 從公用程式的「扉頁」按一下管理,以存取「管理作業」頁面。

    3. 選取匯出瀏覽器的 CA 金鑰,並輸入您的 CA 金鑰資料庫密碼。

    4. 按一下立刻處理。這樣會建立一個名為 cakey.der 的檔案。 您應該會得到一則訊息,確認已順利將 CA 金鑰匯出。

    5. 在「管理作業」頁面上,選取匯出伺服器的 CA 金鑰, 並輸入您的 CA 金鑰資料庫密碼。

    6. 按一下立刻處理。這樣會建立一個名為 cakey.txt 的檔案。 您應該會得到一則訊息,確認已順利將 CA 金鑰匯出。

    處理憑證要求

    註:

    1. 如果您建立了 CA 金鑰資料庫密碼的隱藏檔 (cakey.sth), 則所有的瀏覽器及伺服器憑證要求都會自動核准。

    2. 請確定憑證要求是透過安全連線來處理的。

    欲處理瀏覽器及伺服器的憑證要求:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 從公用程式的「扉頁」按一下管理,以存取「管理作業」頁面。

    3. 選取處理擱置要求處理所有要求,然後按一下立刻處理

      如果有等待中的要求:

      您可以針對一或數個要求採取動作。

    4. 按一下處理。您應該會得到一則訊息,確認已順利將憑證資料庫更新。

    相關詳細指示,請按一下說明

    使用者作業

    將 CA 憑證下載至 Web 瀏覽器

    在您可以接受由 HTTP Server CA 所簽名的瀏覽器憑證之前, 必須先將可識別 HTTP Server CA 作為授信憑證管理中心的 CA 憑證,下載至您的瀏覽器。

    欲下載 CA 憑證:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在「瀏覽器憑證」之下,按一下從 Web 伺服器下載 CA 憑證

    3. 遵循指示,將 cakey.der 檔案下載至您的工作站。

    將 CA 憑證下載之後,請將憑證指定為瀏覽器上授信 CA, 並將憑證標示為作業金鑰資料庫中的預設值。 一旦將 CA 憑證指定為您瀏覽器上授信 CA,您便不需要再重新執行此程序。

    要求瀏覽器憑證

    使用下列步驟來向您專用網路的 CA 要求瀏覽器憑證:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在「瀏覽器憑證」之下,按一下要求瀏覽器憑證

    3. 在「一般名稱」欄位中,指定您想要的名稱。 請將此名稱記錄下來,因為稍後您在接收已簽名的憑證時,將會需要它。

    4. 在「挑戰詞組」欄位中輸入您的密碼。 稍後在您下載已核准的憑證時,必須指定此密碼。

    5. 完成所有必要的欄位。相關資訊,請按一下說明

    6. 按一下送出要求,將已完成的表格傳送到 CA,以取得核准。 將會在您的瀏覽器上啟動產生私密金鑰的程序。 這個私密金鑰將會用在您所要求的憑證上。

    7. 按一下瀏覽器上的確定,以建立私密金鑰。

    根據您的「管理者」的設定,將會自動核准您的要求, 或是在「管理者」複閱後核准您的要求。 如果發生自動核准,您便不會收到任何訊息來確認已經核准該要求。 您可以直接進入接收經核准的瀏覽器憑證,並完成該程序。

    如果您的「管理者」已設定了手動核准,您就會收到一個訊息,確認已接受該憑證要求。 請向您的「管理者」確認,以決定要於何時處理核准程序。 經核准的憑證會傳送到 HTTP Server CA 資料庫目錄。

    接收經核准的瀏覽器憑證

    在您可以接收經核准的瀏覽器憑證之前,您必須先下載 CA 的憑證 (cakey.der)。 相關指示,請參閱將 CA 憑證下載至 Web 瀏覽器

    使用下列步驟來接收經核准之 CA 簽名的瀏覽器憑證:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在「瀏覽器憑證」之下,按一下接收經核准的憑證

    3. 輸入您在憑證要求表格上指定的「一般名稱」。
      註:如果您收到找不到記錄的訊息,可能是因為您輸入的一般名稱錯誤。 如果您忘了您所輸入的「一般名稱」為何,請向您的「管理者」查詢。

    4. 在「挑戰詞組」欄位中輸入密碼,並按一下送出要求
      註:如果您收到找不到記錄的訊息,可能是因為您輸入的密碼錯誤。 如果您忘了您的密碼,請向您的「管理者」查詢。

    5. 如果找到憑證,則會顯示「下載憑證」頁面,您即可下載憑證。 若要下載,請按一下按一下這裡來下載您的憑證

      如果找不到,請向「CA 管理者」確認,以得知將於何時處理憑證。

    6. 在您收到經核准的憑證後,您的瀏覽器將會受到您專用網路中其它從屬站及伺服器的信任。

    網站管理作業

    為另一個伺服器下載 CA 憑證

    在另一台 Web 伺服器上可以處理任何已簽名 HTTP Server CA 憑證之前, 您必須先將您的 HTTP Server CA 憑證儲存在目標 Web 伺服器的作業金鑰資料庫。

    為另一個伺服器下載 CA 憑證:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在「伺服器憑證」之下,按一下從 Web 伺服器下載 CA 憑證。 即顯示 cakey.txt 檔案。

    3. 欲匯入 CA 金鑰,請在您的系統上建立 *.txt 檔案, 然後將憑證檔案 (cakey.txt) 複製到您的剪貼簿中。

    4. 從剪貼簿將憑證貼到您新建的 *.txt 檔案。

    5. 用 IKEYMAN 將此 CA 憑證 (*.txt 檔案) 儲存在目標 Web 伺服器的作業金鑰資料庫中。 相關詳細指示,請參閱儲存 CA 的憑證

    要求伺服器憑證

    使用下列步驟來向您專用網路的 CA 要求伺服器憑證:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在「伺服器憑證」之下,按一下要求伺服器憑證。 即出現「伺服器憑證要求」表格。

      使用此表格來將伺服器憑證要求傳送到您專用網路的 CA, 這樣網路中的瀏覽器及其它 HTTP Server 便會信任此 HTTP Server。 如果您的網路中有其它 Web 伺服器,您可以執行此作業,以代表遠端 Web 伺服器。

    3. 在「伺服器名稱」欄位中,指定您想要的伺服器名稱。 請將此名稱記錄下來,因為稍後您在下載經核准的憑證時,將會需要它。

    4. 在「組織」欄位中,指定您想要的組織名稱。

    5. 在「挑戰詞組」欄位中輸入您的密碼。 稍後在您下載已核准的憑證時,必須指定此密碼。

    6. 完成所有必要的欄位。相關資訊,請按一下說明

    7. 瀏覽您 Web 伺服器的作業憑證要求檔案 (*.arm)。
      問題:您要如何在工作站上瀏覽這個檔案?
      
      當 *.arm 檔案顯示在您的螢幕上時,請將此檔案的內容複製到您的剪貼簿。 然後到您的 Web 瀏覽器,將此檔案貼在表格中標示下列這句話的部份: 請將您的憑證要求複製到下列區域。 您必須將您的作業憑證要求檔案 (*.arm) 貼到這個空間中。 此為傳送到 HTTP Server CA 來供簽名的檔案。

    8. 按一下送出要求,將已完成的表格傳送到 CA,以取得核准。

    9. 如果您的 CA 管理者已設定了自動核准, 您可以按一下按一下這裡來下載您的憑證選項,以啟動處理程序。 如果發生自動核准,您便不會收到任何訊息來確認已經核准該要求。 您可以直接進入接收經核准的伺服器憑證,並完成該程序。

      如果您的 CA 管理者設定了手動核准,您就會在瀏覽器上收到一個訊息,確認已接受該憑證要求。

    接收經核准的伺服器憑證

    在您可以接收經核准的伺服器憑證之前,您必須先下載 CA 的憑證 (cakey.txt)。 相關指示,請參閱為另一個伺服器下載 CA 憑證

    使用下列步驟來接收經核准之 CA 簽名的伺服器憑證:

    1. 至 URL:
      http://your.server.name/CAServlet/Welcome.html
      

    2. 在「伺服器憑證」之下,按一下接收經核准的憑證

    3. 輸入您在憑證要求表格上指定的「伺服器名稱」。
      註:如果您收到找不到記錄的訊息,可能是因為您輸入的伺服器名稱錯誤。 如果您忘了您所輸入的「伺服器名稱」為何,請向您的「管理者」查詢。

    4. 在「挑戰詞組」欄位中輸入密碼,並按一下送出要求
      註:如果您收到找不到記錄的訊息,可能是因為您輸入的密碼錯誤。 如果您忘了您的密碼,請向您的「管理者」查詢。

    5. 如果找到憑證,則會顯示「下載憑證」頁面,您即可下載憑證。 若要下載,請按一下按一下這裡來下載您的憑證

      如果找不到,請向「CA 管理者」確認,以得知將於何時處理憑證。

    6. 完成下載處理之後,Web 瀏覽器中將會顯示已簽名的憑證要求檔案。 使用複製及貼上功能來將此檔案複製到剪貼簿。 將已簽名的憑證貼到伺服器上的 *.cert 檔案中。

    7. 用 IKEYMAN 將已簽名的憑證接收至伺服器作業金鑰資料庫 (*.kdb)。 詳細指示,請參閱接收由授信 CA 簽名的憑證

    8. 在您收到經核准的憑證後,您的伺服器將會受到您專用網路中其它 HTTP Server 及 Web 瀏覽器的信任。

    相關資訊

    註:

    1. 如果您是採用憑證廢止清冊 (CRL) 進行從屬站鑑別, 則必須向 IBM Registry 購買 CA 軟體, 並發出您自己的憑證。

    2. 財經及銀行機構可選擇購買特殊的數位憑證, 可匯出伺服器的版本,以使用 128 位元 (或以上) 的加密層次。 相關資訊,請參閱財經及銀行業 Web 伺服器專用的加強型加密選項

    財經及銀行業 Web 伺服器專用的加強型加密選項

    若指定為財經及銀行業 Web 伺服器,北美版的 HTTP Server 即可展現北美版及國際版之 Netscape Navigator 4.x 及 Microsoft Internet Explorer 4.x 的強大加密能力。 欲使用此功能,您必須向名為 Global Server ID 的 VeriSign 購買特殊的數位憑證。

    欲使用標準 Web 異動,Netscape 及 Microsoft 國際版瀏覽器只能使用 40 位元的加密來進行安全 Socket 層 (SSL) 異動。 但是,若伺服器使用 VeriSign Global Server ID 來取得其 SSL 憑證, 國際版瀏覽器即可使用層次更為強大的 128 位元 (或以上) 的加密。 這樣可以讓具有 Global Server ID 的伺服器以最高的 SSL 加密層次, 來與北美版及國際版的 Netscape 及 Microsoft 瀏覽器通信。

    想要使用此功能之 HTTP Server 的國際財經及銀行業客戶, 必須聯絡 IBM 來取得匯出軟體授權,以取得並使用北美版的 HTTP Server。

    憑證及 URL 基本需求

    若要讓國際版瀏覽器可使用 128 位元加密來建立 SSL 連線:

    瀏覽器基本需求


    表 2. Global server ID 瀏覽器基本需求

    瀏覽器 北美版 國際版
    Netscape Navigator 若符合憑證及 URL 基本需求中所列出的基本需求,則所有版本皆適用。 版本 4.04 是唯一支援 128 位元加密的版本。
    Internet Explorer 若符合憑證及 URL 基本需求中所列出的基本需求,則所有版本皆適用。 版本 4.0 (升級版 4.72.3110.8) 是唯一支援 128 位元加密的版本。 欲驗證升級號碼,請按一下「說明」,然後按一下「關於 Internet Explorer」。

    欲取得加密支援及瀏覽器基本需求的最新資訊, 請參閱 HTTP Server 網站

    頁面開頭