本课程提供有关如何配置 OracleAS 证书颁发机构 (OCA) 以管理证书的指导。要执行管理任务,您需要一个有效的管理员证书。本课程逐步介绍如何请求管理员证书。您还将了解用户如何请求证书和查看请求状态。
本单元将讨论以下内容:
|
概述 | |
|
前提条件 | |
|
启动 OracleAS 证书颁发机构 | |
|
启动支持 OCA 的 OC4J 进程 | |
|
启动 OCA 服务器进程 | |
|
||
|
用户:请求证书 | |
|
SSO 身份验证 | |
|
SSL 身份验证 | |
|
手动身份验证 | |
|
管理员:批准证书 | |
将鼠标置于该图标上将显示所有屏幕截图。您也可以将鼠标置于每个图标上,只查看与之关联的屏幕截图。
为使本课程顺利进行,您需要先完成以下准备工作:
| 1. |
完成了安装 Oracle 应用服务器 10g 基础架构课程。 |
| 您可以使用命令行或者从 Oracle 企业管理器 10g 应用服务器控制台启动和停止 OC4J 支持进程。以下步骤展示了如何使用 Oracle 企业管理器 10g 应用服务器控制台启动/停止 OC4J 支持进程。 |
| 1. |
打开一个浏览器,导航到以下 URL:http://<主机名>.<域>:1810/ 注: 1810 是安装应用服务器时分配的默认端口。然而,如果另一个实例已经在 1810 上运行,安装时可能会分配下一个端口。 您将看到应用服务器主页。 |
| 2. |
向下滚动并单击基础架构实例。
|
| 3. |
您将看到基础架构主页
|
| 4. |
向下滚动查看基础架构组件。单击链接 oca。
如果以上任何组件无效,则 Status 列中会用一个红色的向下箭头指示它。要启动这些组件,选择 Select 列下的复选框并单击 Start 按钮。目前,oca 组件的状态未知。 |
| 5. |
您可以停止或重新启动该组件。
|
| 1. |
执行以下命令,将目录更改为 cd
|
| 2. |
执行以下命令来启动 OCA 服务器进程: $ocactl start
|
| 3. |
您会看到 OCA 服务器已经启动。
|
要进行证书管理,管理员必须首先填写一个表单进行注册,然后导入其证书。
针对安全的 HTTPS,OCA 服务器的默认端口为 4400;针对无身份验证的,默认端口为 4401。如果您不确定 OCA 在监听哪个端口号,可通过查看 $ORACLE_HOME/infra/install 目录中的“portlist.ini”文件来查明。
| 1. |
打开一个浏览器,导航到以下 URL:https://<主机名>.<域>:4400/oca/admin 注: 该 URL 正在使用 HTTPS 而非 HTTP。 |
| 2. |
如果您看到如下所示的错误消息,则尚未成功启动 OCA 服务器。请按照此处提到的步骤启动 OCA 服务器。
|
| 3. |
如果 OCA 服务器已启动,您将看到欢迎页面。
|
| 4. |
要注册为管理员,单击链接 Click here。
您将看到注册表单。
|
| 5. |
输入必要的详细信息。
|
| 6. |
向下滚动并提供一个口令。记住您输入的口令。根据不同的浏览器,您将看到不同的 Certificate Key Store 或 Certificate Key Size。Certificate Key Store 是加密服务的提供程序选择。建议使用 Microsoft Enhanced Cryptographic Provider。更改有效期(如果需要)并单击 Submit 按钮。
|
| 7. |
您将看到以下对话框。单击 Yes 继续。
|
| 8. |
将批准该证书并显示详细信息。
|
| 9. |
将该证书导入到您的浏览器。当需要针对应用程序或另一个服务器进行身份验证时,您的浏览器可以提供该证书。向下滚动并单击 Import to Browser。
|
| 10. |
查看该证书(已经导入您的浏览器)。单击 Tools 菜单并选择 Internet Options。选择 Content 选项卡。
注: 如果您使用的是 mozilla 浏览器或 Netscape,导航到 Edit --> Preferences --> Privacy & Security --> Certificates。 |
| 11. |
单击 Certificates 按钮。
|
| 12. |
您将看到列出了该证书。单击 View 按钮,查看您导入的证书的详细信息。
|
| 13. |
查看该证书的详细信息并单击 OK。
|
| 14. |
下次导航到
您已经成功注册为管理员。 |
用户可以访问 OCA Web 界面来请求、查看和更新证书。可基于一次性登录 (SSO)、安全套接字层 (SSL) 或 OCA 管理员手动身份验证来请求和颁发用户证书。如果用户已经具有一个 SSO 帐户,则该证书自动生成并颁发给用户。然而,手动请求需要 OCA 管理员的干预。管理员检查用户凭据并决定是否颁发证书。
| 1. |
导航到 https://<主机名>.<域>:4400/oca/user 上的 OCA 用户页面 注: 该 URL 使用的是 HTTPS 而非 HTTP。
|
| 2. |
单击 User Certificates 选项卡。
|
| 3. |
您会看到可以用三种方式来请求证书。默认方式是 SSO 身份验证。单击 Submit 按钮。
|
| 4. |
您将看到登录页面。
|
| 5. |
在 User Name 和 Password 域中输入值并单击 Login。
|
| 6. |
目前没有证书。要请求证书,单击 Get Certificate 按钮。
|
| 7. |
注意,DN 信息已存在,因为您使用 SSO 口令进行了登录。选择适当的证书信息。
? |
| 8. |
单击 Submit 按钮。
|
| 9. |
您将看到批准的证书信息。由于您要使用 SSO 身份验证请求证书,因此将自动生成该证书并立即颁发。
|
| 10. |
单击 Import to Browser 按钮导入证书。
|
OCA 支持基于证书的身份验证。如果某个用户有一个未撤消的有效证书,则可以使用该证书通过 HTTPS 对 OCA 进行身份验证。对该用户进行身份验证之后,OCA 允许该用户使用现有证书或立即颁发一个新证书。
| 1. |
导航到 https://<主机名>.<域>:4400/oca/user 上的 OCA 用户页面单击 User Certificates 选项卡。选择 Use your existing certificate。
|
| 2. |
单击 Submit 按钮。
|
| 3. |
选择一个现有证书并单击 View Details 按钮。
向下滚动,单击 Import to Browser 按钮导入证书。 |
手动身份验证过程需要用户提供个人信息,如姓名、电子邮件、位置等。用户通过提供必要的详细信息来请求证书。用户还可以查看请求状态。OCA 管理员将检查用户凭据并确定颁发还是拒绝该证书。
| 1. |
导航到 https://<主机名>.<域>:4400/oca/user 上的 OCA 用户页面。
|
| 2. |
单击 Request a Certificate 按钮。
|
| 3. |
提供必要的详细信息。
|
| 4. |
选择适当的证书信息。
|
| 5. |
单击 Submit 按钮。
|
| 6. |
您将看到您的请求的确认消息。
|
| 7. |
单击 OK。
|
| 8. |
可以使用 Search 域查看证书状态。
? |
OCA Web 界面使管理员能够批准或拒绝证书请求。管理员还可以因各种原因撤消已颁发的证书。
| 1. |
导航到 https://<主机名>.<域>:4400/oca/admin 上的 OCA 管理页面 单击 Certificate Management 链接。
|
| 2. |
您将看到用户请求的证书列表。您会看到您请求的证书状态为 Pending。
|
| 3. |
单击 View Details 按钮。
|
| 4. |
您将看到证书详细信息。
|
| 5. |
单击 Approve 按钮批准该证书。
|
| 6. |
您将看到确认消息。
|
| 7. |
单击 OK。
|
| 8. |
你将看到没有挂起的证书。
|
将鼠标置于该图标上可以隐藏所有屏幕截图