Red Hat Training
A Red Hat training course is available for Red Hat Satellite
章 3. SSL 基礎結構
對於 Red Hat Network 的客戶來說,安全性上的顧慮是最為重要的。Red Hat Network 的其中一個強項就是它能透過 Secure Sockets Layer(SSL)來處理每一個請求。若要保持這種層級的安全性,將 Red Hat Network 安裝在他們基礎結構中的客戶就必須產生自訂的 SSL 金鑰與認證。
SSL 金鑰與認證的手動式建立與建置有時相當複雜。RHN Proxy Server 與 RHN Satellite Server 兩者都允許您在安裝期間基於您自己的私密憑證機構(CA)來建立您自己的 SSL 金鑰與認證。另外還有個為此原因存在的另一個指令列工具程式,RHN SSL Maintenance Tool。接下來,無論如何這些金鑰與認證都必須被建置至您所管理的基礎結構之中的所有系統。在很多情況下,這些 SSL 金鑰與認證的建置都會自動地為您完成。本章節描述了一些處理所有這些作業的有效方式。
請注意,本章節並不會深度去解釋 SSL。RHN SSL Maintenance Tool 是被用來隱藏大部分包含在設定與維護此公共金鑰基礎結構(public-key infrastructure,PKI)之中的複雜性所設計的。如欲取得更多資訊,請至各大書局參考相關書籍。
3.1. SSL 的詳細介紹
SSL(或 Secure Sockets Layer)是個啟用用來安全傳輸資訊的客戶端伺服器應用程式的通訊協定。SSL 使用了一種公用與私密金鑰配對的系統來為客戶端與伺服器之間所傳輸的通訊加密。公共認證能被存取,私密金鑰則必須被保密。此系統其實就是以私密金鑰與其配對的公共認證之間的精確數學關係(數位簽章)來運作的。信任就是透過此關係來聯繫的。
注意
在此文件中我們從頭到尾都會提到 SSL 私密金鑰以及公用認證。技術上來講,兩者都能被歸類為金鑰(公用與私密金鑰)。不過這是個常規,通常當我們談到 SSL 時,都會將 SSL 金鑰配對(或金鑰組)公用的另一半歸類為 SSL 公用認證。
一個組織的 SSL 基礎結構一般都是以這些 SSL 金鑰與認證所建立而成的:
- 憑證機構(CA)SSL 私密金鑰以及公用認證 — 一個組織一般來講都只會產生一組。公用認證會被它的私密金鑰進行數位簽章。公用認證會被發佈至每部系統上。
- 網路伺服器 SSL 私密金鑰以及公用認證 — 一個應用程式伺服器一組。此公用認證會由它的私密金鑰與 CA SSL 私密金鑰進行簽章。我們通常會將網站伺服器的金鑰歸類為金鑰組;這是因為有個媒介的 SSL 認證請求會被產生。該作用的詳情對目前的討論範圍來講並不重要。這三者都會被建置至一個 RHN 伺服器。
範例:若您擁有一個 RHN Satellite Server 以及五個 RHN Proxy Server,您將會產生一個 CA SSL 金鑰配對以及六個網站伺服器 SSL 金鑰組。CA SSL 公用認證會被發佈至所有系統並被所有客戶端用來建立一個連至他們個別上游伺服器的連結。所有伺服器都擁有自己的 SSL 金鑰組,此金鑰組會特定性地和該伺服器的主機名稱綁在一起,並且此 SSL 金鑰組則能透過使用它自己的 SSL 私密金鑰以及 CA SSL 私密金鑰的組合來產生。這在網站伺服器的 SSL 公用認證與 CA SSL 金鑰配對和伺服器的私密金鑰之間建立了一個數位化驗證的關聯。網站伺服器的金鑰組不可與其它網站伺服器共享。
重要
此系統最重要的部份就是 CA SSL 金鑰配對。透過此私密金鑰與公用認證,系統管理員能夠重新產生任何網站伺服器的 SSL 金鑰組。此 CA SSL 金鑰配對必須受到保密。我們強烈建議一旦伺服器的 RHN 基礎結構被完整設定好並開始運作後,您應將由此工具與 / 或安裝程式所產生的 SSL 建置目錄保存到其它媒介上、寫下 CA 密碼,並將該媒介與密碼存放在安全的地方。