若要在 Internet 上處理商務來往,建議您向外部憑證管理中心 (CA) (如:VeriSign) 購買安全伺服器憑證。 如需支援之 CA 的清單,請參閱憑證管理中心。
如果您作自己本身的 CA,就可以對自己或其它任何人的憑證要求簽名。 如果您只需要在專屬 Web 網路中的憑證,而不是用於外部的 Internet 商業, 不妨採用這個方法。 從屬站必須具備瀏覽器 (例如 Netscape Navigator 或 Microsoft Internet Explorer), 才能接收您的 CA 憑證,並指定您為授信 CA。
如果以您自己的 CA 來作業,您可以使用您伺服器的 IBM 金鑰管理公用程式 (IKEYMAN 及 HTTP Server CA), 或是向 CA 提供業者購買憑證管理中心軟體。
註: | 如果您預期要管理超過 250 個以上的憑證, 請考慮向 CA 提供業者購買軟體。 此限制是根據可儲存在 CA 金鑰資料庫之憑證要求的數量而定。 在儲存 250 個憑證要求之後,公用程式的效能會非常地慢。 |
在使用 HTTP Server CA 之前,您必須安裝 WebSphere Application Server, 以作為您的 servlet 引擎。
欲取得安裝作業指示,請參閱 WebSphere Application Server 入門 版本 2。 您可以從 WebSphere Application Server 網站來存取這本書及其它 Application Server 說明文件。
為能正確地下載從屬站憑證,伺服器配置檔中必須包含下列 AddType 指引及 MIME 類型:
AddType .cer application/x-x509-user-cert 7bit 0.5 #使用者憑證 AddType .der application/x-x509-ca-cert binary 1.0 #瀏覽器 CA 憑證
這些 MIME 類型皆內含在預設的伺服器配置檔中。
在開始使用 CA 公用程式之前,請先用 IKEYMAN 來建立您的伺服器及 CA 金鑰資料庫、 伺服器憑證及自簽的 CA 憑證。 若需說明,請參閱建立自簽憑證。
註: | 身為「管理者」,您可以選擇在送出 CA 憑證要求後,自動處理這些要求。 若使用自動處理程序,您就不需要以手動的方式來處理每一個憑證要求。 如果您要使用自動處理程序,請在使用 IKEYMAN 來設定您的 CA 金鑰資料庫時, 建立 CA 金鑰資料庫密碼的隱藏檔。 |
在您建立了您的 CA 金鑰資料庫及自簽的 CA 憑證之後, 請將 cakey.kdb 檔案複製到 CA 公用程式目錄中:
您也可以選擇將您的加密 CA 金鑰資料庫密碼儲存在隱藏檔中。 如果隱藏檔的所在目錄與 CA 金鑰資料庫檔案 (cakey.kdb) 相同, 便會自動核准所有傳送出去供 CA 公用程式簽名的憑證。 如果您建立了一個隱藏檔 (cakey.sth),請將該檔案複製到與 cakey.kdb 檔案相同的目錄中。
伺服器上的 cakey.kdb 檔案必須匯出至 CA 公用程式, 格式必須為從屬站及伺服器可使用的格式。 相關詳細指示,請參閱匯出 CA 金鑰資料庫。
欲存取 HTTP Server CA 公用程式,請參閱 URL:
http://your.server.name/CAServlet/Welcome.html
CA 的工作是為了要驗證從屬站或伺服器而發出憑證。 您必須確定提出要求的人員具有合法的權利來要求憑證。 在您驗證過人員的要求權後,您可以用 HTTP Server CA 來建立已簽名的憑證。
此處理的輸入為從屬站或伺服器憑證要求。 而輸出為以您的私密金鑰簽名的憑證。
在您處理了從屬站或伺服器憑證之後:
在完成這些步驟之後,從屬站或伺服器便可使用其 CA 簽名的憑證來與您專用之 Web 網路中的其它 HTTP Server 及 Web 瀏覽器進行安全通信。
使用下列步驟來匯出伺服器上的 CA 金鑰資料庫 (cakey.kdb), 格式為瀏覽器及伺服器可使用的格式。 在起始設定您的憑證管理中心之後,您便不需要重複這些步驟。
註: | 您必須先用 IKEYMAN 來建立 cakey.kdb 檔案,才能使用 CA 公用程式。 若需說明,請參閱建立自簽憑證。 |
欲匯出瀏覽器及伺服器的 CA 金鑰資料庫檔案:
http://your.server.name/CAServlet/Welcome.html
註:
欲處理瀏覽器及伺服器的憑證要求:
http://your.server.name/CAServlet/Welcome.html
如果有等待中的要求:
您可以針對一或數個要求採取動作。
相關詳細指示,請按一下說明。
在您可以接受由 HTTP Server CA 所簽名的瀏覽器憑證之前, 必須先將可識別 HTTP Server CA 作為授信憑證管理中心的 CA 憑證,下載至您的瀏覽器。
欲下載 CA 憑證:
http://your.server.name/CAServlet/Welcome.html
將 CA 憑證下載之後,請將憑證指定為瀏覽器上授信 CA, 並將憑證標示為作業金鑰資料庫中的預設值。 一旦將 CA 憑證指定為您瀏覽器上授信 CA,您便不需要再重新執行此程序。
使用下列步驟來向您專用網路的 CA 要求瀏覽器憑證:
http://your.server.name/CAServlet/Welcome.html
根據您的「管理者」的設定,將會自動核准您的要求, 或是在「管理者」複閱後核准您的要求。 如果發生自動核准,您便不會收到任何訊息來確認已經核准該要求。 您可以直接進入接收經核准的瀏覽器憑證,並完成該程序。
如果您的「管理者」已設定了手動核准,您就會收到一個訊息,確認已接受該憑證要求。 請向您的「管理者」確認,以決定要於何時處理核准程序。 經核准的憑證會傳送到 HTTP Server CA 資料庫目錄。
在您可以接收經核准的瀏覽器憑證之前,您必須先下載 CA 的憑證 (cakey.der)。 相關指示,請參閱將 CA 憑證下載至 Web 瀏覽器。
使用下列步驟來接收經核准之 CA 簽名的瀏覽器憑證:
http://your.server.name/CAServlet/Welcome.html
註: | 如果您收到找不到記錄的訊息,可能是因為您輸入的一般名稱錯誤。 如果您忘了您所輸入的「一般名稱」為何,請向您的「管理者」查詢。 |
註: | 如果您收到找不到記錄的訊息,可能是因為您輸入的密碼錯誤。 如果您忘了您的密碼,請向您的「管理者」查詢。 |
如果找不到,請向「CA 管理者」確認,以得知將於何時處理憑證。
在另一台 Web 伺服器上可以處理任何已簽名 HTTP Server CA 憑證之前, 您必須先將您的 HTTP Server CA 憑證儲存在目標 Web 伺服器的作業金鑰資料庫。
為另一個伺服器下載 CA 憑證:
http://your.server.name/CAServlet/Welcome.html
使用下列步驟來向您專用網路的 CA 要求伺服器憑證:
http://your.server.name/CAServlet/Welcome.html
使用此表格來將伺服器憑證要求傳送到您專用網路的 CA, 這樣網路中的瀏覽器及其它 HTTP Server 便會信任此 HTTP Server。 如果您的網路中有其它 Web 伺服器,您可以執行此作業,以代表遠端 Web 伺服器。
問題:您要如何在工作站上瀏覽這個檔案?當 *.arm 檔案顯示在您的螢幕上時,請將此檔案的內容複製到您的剪貼簿。 然後到您的 Web 瀏覽器,將此檔案貼在表格中標示下列這句話的部份: 請將您的憑證要求複製到下列區域。 您必須將您的作業憑證要求檔案 (*.arm) 貼到這個空間中。 此為傳送到 HTTP Server CA 來供簽名的檔案。
如果您的 CA 管理者設定了手動核准,您就會在瀏覽器上收到一個訊息,確認已接受該憑證要求。
在您可以接收經核准的伺服器憑證之前,您必須先下載 CA 的憑證 (cakey.txt)。 相關指示,請參閱為另一個伺服器下載 CA 憑證。
使用下列步驟來接收經核准之 CA 簽名的伺服器憑證:
http://your.server.name/CAServlet/Welcome.html
註: | 如果您收到找不到記錄的訊息,可能是因為您輸入的伺服器名稱錯誤。 如果您忘了您所輸入的「伺服器名稱」為何,請向您的「管理者」查詢。 |
註: | 如果您收到找不到記錄的訊息,可能是因為您輸入的密碼錯誤。 如果您忘了您的密碼,請向您的「管理者」查詢。 |
如果找不到,請向「CA 管理者」確認,以得知將於何時處理憑證。
註:
若指定為財經及銀行業 Web 伺服器,北美版的 HTTP Server 即可展現北美版及國際版之 Netscape Navigator 4.x 及 Microsoft Internet Explorer 4.x 的強大加密能力。 欲使用此功能,您必須向名為 Global Server ID 的 VeriSign 購買特殊的數位憑證。
欲使用標準 Web 異動,Netscape 及 Microsoft 國際版瀏覽器只能使用 40 位元的加密來進行安全 Socket 層 (SSL) 異動。 但是,若伺服器使用 VeriSign Global Server ID 來取得其 SSL 憑證, 國際版瀏覽器即可使用層次更為強大的 128 位元 (或以上) 的加密。 這樣可以讓具有 Global Server ID 的伺服器以最高的 SSL 加密層次, 來與北美版及國際版的 Netscape 及 Microsoft 瀏覽器通信。
想要使用此功能之 HTTP Server 的國際財經及銀行業客戶, 必須聯絡 IBM 來取得匯出軟體授權,以取得並使用北美版的 HTTP Server。
若要讓國際版瀏覽器可使用 128 位元加密來建立 SSL 連線:
瀏覽器 | 北美版 | 國際版 |
---|---|---|
Netscape Navigator | 若符合憑證及 URL 基本需求中所列出的基本需求,則所有版本皆適用。 | 版本 4.04 是唯一支援 128 位元加密的版本。 |
Internet Explorer | 若符合憑證及 URL 基本需求中所列出的基本需求,則所有版本皆適用。 | 版本 4.0 (升級版 4.72.3110.8) 是唯一支援 128 位元加密的版本。 欲驗證升級號碼,請按一下「說明」,然後按一下「關於 Internet Explorer」。 |
欲取得加密支援及瀏覽器基本需求的最新資訊, 請參閱 HTTP Server 網站。