用於加密金鑰伺服器的憑證

當您使用金鑰伺服器來啟用加密時,需要有兩種憑證才能確保系統與加密金鑰伺服器之間的安全通訊。

憑證是金鑰伺服器用來鑑別系統以及系統用於向金鑰伺服器進行鑑別的主要方法。交換這些憑證會驗證是否容許存取金鑰伺服器中儲存的加密金鑰。系統鑑別可以確保金鑰伺服器不會讓不受信任的一方存取金鑰。金鑰伺服器鑑別可以確保系統不會要求將機密的金鑰交給不受信任的一方儲存。系統的安全取決於兩個因素。首先,金鑰伺服器和系統的公開憑證必須安全地交換,使每一個裝置可以彼此信任。其次,金鑰伺服器和系統必須妥善保管其私密金鑰(與憑證相關聯)。

必須將系統用於驗證金鑰伺服器的金鑰伺服器憑證,傳送至系統並進行安裝。將金鑰伺服器新增至系統時,可以使用由具公信力第三者簽章的憑證或自簽憑證。如果要新增多部金鑰伺服器,則可使用這些憑證的組合。如果已安裝自簽憑證與 CA 簽章憑證的組合,則系統上安裝的自簽金鑰伺服器憑證,會優先於系統上安裝的任何 CA 簽章金鑰伺服器憑證。

如果所有金鑰伺服器皆使用相同憑證管理中心簽章的憑證,建議您將 CA 憑證安裝在金鑰伺服器類型的設定(如 chkeyserverisklm -sslcert …)中,而非安裝在金鑰伺服器端點(如 mkkeyserver -sslcert …)中。如果金鑰伺服器端點沒有已安裝的憑證,則僅在您連接至金鑰伺服器時,才會使用金鑰伺服器類型設定的 CA 憑證。如果您對每部金鑰伺服器使用個別自簽憑證,則會針對每個金鑰伺服器端點來安裝憑證。如果您使用的金鑰伺服器憑證屬於信任鏈的一部分,請參閱使用金鑰伺服器的憑證鏈

如果金鑰伺服器是相同系統的一部分,並且配置為彼此抄寫其金鑰及憑證,則會將金鑰伺服器憑證複製到所有金鑰伺服器。 系統可以使用相同伺服器憑證來連接至所有金鑰伺服器。此外,系統憑證必須安裝在每部已配置的金鑰伺服器上。金鑰伺服器管理者會接受系統憑證以授權存取金鑰伺服器。如果要為安全通訊配置系統憑證,請選取設定 > 安全 > 安全通訊

使用金鑰伺服器的憑證鏈

為了讓系統使用 SSL 向使用已簽章憑證鏈的金鑰伺服器進行鑑別,系統要求安裝多個憑證。必須安裝憑證鏈(不包括伺服器憑證本身,即葉憑證)中的所有憑證。例如,如果金鑰伺服器 X 的憑證是由憑證管理中心 Y 簽章,而憑證管理中心 Y 的憑證是由主要憑證管理中心 Z 簽章,則系統要求將憑證 Y 及 Z 皆安裝在系統上,才能順利與金鑰伺服器 X 通訊。如果要安裝此憑證,請建立包含完整憑證鏈(不包括金鑰伺服器的憑證)的單一憑證檔。該檔案中的第一個憑證是 CA 憑證,用來簽章憑證鏈的葉憑證(金鑰伺服器憑證)。該檔案中的最後一個憑證是主要 CA 憑證。在該檔案中的第一個憑證與主要憑證之間,會依序指定所有中繼 CA 憑證。如果存在多個中繼憑證,請按從葉憑證至主要憑證的順序,依次將這些憑證包含在內。

產生的憑證檔必須在檔案頂端包含第一個中繼憑證,再按順序逐個接著後續的中繼 CA 憑證。最終,主要 CA 憑證將為檔案底端的最後一個憑證。產生的檔案僅包含每個憑證的 PEM 資料,而諸如註解的任何其他資料則會從該檔案中移除。該檔案中的每個憑證皆以換行字元區隔,且每個憑證皆以標頭 "-----BEGIN CERTIFICATE-----" 開頭,並以 "-----END CERTIFICATE-----" 結尾。

深度為 3 的憑證鏈的範例憑證檔,可能類似於下列範例。此範例包含兩個憑證。包含的憑證首先是中繼 CA 憑證 Y,接著是主要 CA 憑證 Z。金鑰伺服器憑證 X 不包含在內。如果使用更大的憑證鏈,則憑證檔中會包含更多的中繼 CA 憑證。
-----BEGIN CERTIFICATE-----
MIIF4DCCA8igAwIBAgICEAAwDQYJKoZIhvcNAQELBQAwgYUxCzAJBgNVBAYTAkdC
MRAwDgYDVQQIDAdFbmdsYW5kMRMwEQYDVQQHDApNYW5jaGVzdGVyMQwwCgYDVQQK
DANJQk0xDDAKBgNVBAsMA1NURzEPMA0GA1UEAwwGcm9vdENBMSIwIAYJKoZIhvcN
AQkBFhNqYW1pZXByeUB1ay5pYm0uY29tMB4XDTE4MTEwNzIxNTg1OVoXDTI4MTEw
NDIxNTg1OVoweDELMAkGA1UEBhMCR0IxEDAOBgNVBAgMB0VuZ2xhbmQxDDAKBgNV
BAoMA0lCTTEMMAoGA1UECwwDU1RHMRcwFQYDVQQDDA5pbnRlcm1lZGlhdGVDQTEi
MCAGCSqGSIb3DQEJARYTamFtaWVwcnlAdWsuaWJtLmNvbTCCAiIwDQYJKoZIhvcN
AQEBBQADggIPADCCAgoCggIBAKbE3NRBJHGcOLBdRRe9InwQqw2kIQ7dDMyAOFbh
/EcuZ03ex0q8HYgJmzGaSwjFZlFBOOZ3eZGWxMgFzKljX8Q7LuQBMi/t7Vxh9Qec
TDcjJ4jtClgFFzlYHFNk0dFJ9sryrhuNMeel64nafJGQQ+dy+vONbqBZfgaMXSbZ
DgQUmmtVqALn+PgFKOjRIMSTpm4hddxn0yg+Av1rAYlRkbpE0B69ktLRZMtnb0s/
dXE73LTMjA7+62P4/DHlU6cBs3ljURsV59OpYrGnTDO1mFIo8Ot89aHQotW/SWCm
RYIsxZ7Hfh6P/fdhScSdJXyyz8Nfs8qr2Ec3Vz2dss0k3MI0E4L2lyKcYaPgUmxF
DlO39ZEcffLrUsfI2GN9RuvE2umqk6FgSCbDP3mxjMxUs3rB8oItU2g5sJ1MVGqb
gYUtS/19hPpjDB/yAjI5Dlv0uUlefBTMPASpLEzF8AKkkVg98Vmkkx5eYjuu3Qpr
rHXN8CVGvhw9TUYzA9Pt9POmq6icMoBHpzujGcDrMflM8aE3sI+EmsFnbZnESeje
CWpc6Q8EZaxnnnHixfMBzX7Al8IIhnzeNUL5x46oUaFzpthYN3FlwWN/W8UDMPPr
h9mh82/CfZqol7suOh5WFWBbA2YGqRQacezMwxteAmvoCvxXhjducU1AzPLkwyPd
xXUBAgMBAAGjZjBkMB0GA1UdDgQWBBSXo1kphy8JAvB25abXPxEDUgHccTAfBgNV
HSMEGDAWgBQ6vl82Zxr3V7UJHz0StpCWmfakQzASBgNVHRMBAf8ECDAGAQH/AgEA
MA4GA1UdDwEB/wQEAwIBhjANBgkqhkiG9w0BAQsFAAOCAgEAIPyFwnJrVyEuC+Hi
8tj0L/aIJabuT8QNmZcqcSW4dfvDDupp7VUiheexCr9btuYIUGrL59clrrJwPFRw
iZTDq3sOQQQz8keYEwXGsjTFafFcdkFIKg1rD+JZojrCvMvpGn1Zt0eqCkla7PsB
pbaXRIbh/ybyafxzPhBYeFDdl9BQQf9vsa1DkNABsx80hy/lHjohaLlG5C+aG+5r
2bUXRNhgl3lSToQkD/JgdvBbgycIcriiL4u6mTJbnpiCB2JbBdyuAzTkdNAZStCv
kB/N+E+7agjx32IxHwjr1FjQZuyqRbHcsvz3f5VB4pGX/6+xeFQn6DlUewvB6CBg
OqsUddu+FKgFw4f3l59UVC1KicQ4Hokbst9WJGkSMgdvQOXyxwapHrsGiTTbzekG
dD7XUdUiLGcT1CDB3NrcHsJ1a2PCUgMQpeEsWDyUspBrvo40w3jfSoKtFmwp3o6a
vx9esOWzevLzAbv7YGZD/iXTQbUk2iNJjt5lRIee20GxZK+/BV36378U0CNKwdUt
mKAaOHY/DsGzOghGdvCz8/g5zhPN+bw9ZXm116cAygIJt2xytVy1cLvtbY2Vzgd9
zE1hCdm6oOfijOQ6F1JAzE/vewTxxOuNzp/T4LLGmrXtWwqhkrFrhRUiwsRb5zjY
XIh94QnyIz09Oj/W0qxllTPIGxk=
-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----