<a name="wp526461"> </a><div class="pSmartList1"><li><code class="cCode">pk12util</code>，一個(gè)命令行實(shí)用程序，用于以 PKCS12 格式在證書/密鑰數(shù)據(jù)庫和文件之間導(dǎo)入和導(dǎo)出密鑰及證書。</li></div></ul></div><a name="wp526465"> </a><p class="pParagraph">有關(guān)使用 <code class="cCode">certutil</code>、<code class="cCode">pk12util</code> 和其他 NSS 安全性工具的更多信息，請參見位于 <a  href="javascript:if(confirm('http://www.mozilla.org/projects/security/pki/nss/tools/  \n\n該文件無法用 Teleport Ultra 下載, 因?yàn)?它是一個(gè)域或路徑外部被設(shè)置為它的啟始地址的地址。  \n\n你想在服務(wù)器上打開它?'))window.location='http://www.mozilla.org/projects/security/pki/nss/tools/'" tppabs="http://www.mozilla.org/projects/security/pki/nss/tools/">http://www.mozilla.org/projects/security/pki/nss/tools</a> 的 NSS Security Tools。 </p><a name="wp526469"> </a><h4 class="pHeading3">管理密碼安全性</h4><a name="wp526471"> </a><p class="pParagraph">在此版本的 Application Server 中，包含特定域的規(guī)范的 <code class="cCode">domain.xml</code> 文件最初以明文形式包含了 IMQ 代理的密碼。<code class="cCode">domain.xml</code> 文件中包含此密碼的元素為 <code class="cCode">jms-host</code> 元素的 <code class="cCode">admin-password</code> 屬性。由于在安裝期間不能更改此密碼，因此它不會對安全性產(chǎn)生很大的影響。 </p><a name="wp526473"> </a><p class="pParagraph">不過，您可以使用管理控制臺添加用戶和資源，并為這些用戶和資源指定密碼。部分密碼將以明文形式寫入 <code class="cCode">domain.xml</code> 文件，例如用于訪問數(shù)據(jù)庫的密碼。將這些密碼以明文形式保存在 <code class="cCode">domain.xml</code> 文件中可能會破壞安全性。通過執(zhí)行以下操作步驟，您可以對 <code class="cCode">domain.xml</code> 中的任何密碼進(jìn)行加密，包括 <code class="cCode">admin-password</code> 屬性或數(shù)據(jù)庫密碼：</p><div class="pSmartList1"><ol type="1" class="pSmartList1"><a name="wp526475"> </a><div class="pSmartList1"><li>在 <code class="cCode">domain.xml</code> 文件所在的目錄（默認(rèn)情況下，此目錄為 <em class="cEmphasis">install_dir</em><code class="cCode">/domains/</code><em class="cEmphasis">domain_dir</em><code class="cCode">/config</code>）中，運(yùn)行以下 <code class="cCode">asadmin</code> 命令：</li></div><a name="wp526477"> </a><p class="pStepParaI1"><code class="cCode">asadmin create-password-alias &lt;</code><em class="cEmphasis">alias-name</em><code class="cCode">&gt;</code></p><a name="wp526479"> </a><p class="pStepParaI1">例如，</p><a name="wp526481"> </a><p class="pStepParaI1"><code class="cCode">asadmin create-password-alias jms-password</code></p><a name="wp526483"> </a><p class="pStepParaI1">將顯示輸入密碼提示（在本例中為 <code class="cCode">admin</code>）。有關(guān)更多信息，請參閱 <code class="cCode">create-password-alias</code>、<code class="cCode">list-password-aliases</code> 和 <code class="cCode">delete-password-alias</code> 命令的手冊頁。</p><a name="wp526485"> </a><div class="pSmartList1"><li>刪除并替換 <code class="cCode">domain.xml</code> 中的密碼。使用 <code class="cCode">asadmin</code> <code class="cCode">set</code> 命令可以完成此操作。用于此目的的 <code class="cCode">set</code> 命令的示例如下：</li></div><a name="wp526487"> </a><code class="pCodelineIndent">asadmin set server.jms-service.jms-host.default_JMS_host.admin-password=${ALIAS=jms-password}</code><a name="wp526489"> </a><div class="pSmartList1"><li>重新啟動(dòng)相關(guān)域的 Application Server。</li></div></ol></div><a name="wp526491"> </a><h5 class="pHeading4">保護(hù)具有編碼密碼的文件</h5><a name="wp526493"> </a><p class="pParagraph">某些文件包含需要使用文件系統(tǒng)權(quán)限進(jìn)行保護(hù)的編碼密碼。這些文件包括：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp526495"> </a><div class="pSmartList1"><li><em class="cEmphasis">install_dir</em><code class="cCode">/domains/</code><em class="cEmphasis">domain_dir</em><code class="cCode">/master-password</code></li></div></ul></div><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp526497"> </a><p class="pParaIndent1">此文件包含編碼主密碼，并且應(yīng)使用文件系統(tǒng)權(quán)限 600 對其進(jìn)行保護(hù)。</p></ul></div><div class="pSmartList1"><ul class="pSmartList1"><a name="wp526499"> </a><div class="pSmartList1"><li>任何使用 <code class="cCode">--passwordfile</code> 參數(shù)創(chuàng)建的、作為參數(shù)傳遞給 <code class="cCode">asadmin</code> 的密碼文件均應(yīng)使用文件系統(tǒng)權(quán)限 600 進(jìn)行保護(hù)。</li></div></ul></div><a name="wp526501"> </a><h5 class="pHeading4">更改主密碼</h5><a name="wp526503"> </a><p class="pParagraph">主密碼 (MP) 是全局性的共享密碼。它從不用于驗(yàn)證，也從不會在網(wǎng)絡(luò)上傳輸。此密碼是整體安全性的要塞點(diǎn)；用戶可以選擇在需要時(shí)手動(dòng)輸入此密碼，也可以將其隱藏在文件中。它是系統(tǒng)中最敏感的數(shù)據(jù)。用戶可以通過刪除此文件強(qiáng)制系統(tǒng)提示輸入 MP。更改主密碼后，系統(tǒng)會將其重新保存到主密碼密鑰庫中。</p><a name="wp526505"> </a><p class="pParagraph">要更改主密碼，必須按照以下步驟進(jìn)行操作：</p><div class="pSmartList1"><ol type="1" class="pSmartList1"><a name="wp526507"> </a><div class="pSmartList1"><li>停止域的 Application Server。使用 <code class="cCode">asadmin</code> 命令 <code class="cCode">change-master-password</code> 提示輸入舊密碼和新密碼，然后對所有依賴條目重新進(jìn)行加密。例如，</li></div><a name="wp526509"> </a><code class="pCodelineIndent">asadmin change-master-password&gt;<br />請輸入主密碼&gt;<br />請輸入新的主密碼&gt;<br />請?jiān)俅屋斎胄碌闹髅艽a&gt;</code><a name="wp526511"> </a><div class="pSmartList1"><li>重新啟動(dòng) Application Server。 </li></div></ol></div><a name="wp526513"> </a><p class="pParagraph"><b class="cBold">警告：</b>此時(shí)，不能啟動(dòng)正在運(yùn)行的服務(wù)器實(shí)例并且不能重新啟動(dòng)運(yùn)行服務(wù)器實(shí)例，除非已更改這些實(shí)例所對應(yīng)的節(jié)點(diǎn)代理上的 SMP。如果在更改服務(wù)器實(shí)例的 SMP 之前重新啟動(dòng)了該服務(wù)器實(shí)例，它將無法啟動(dòng)。</p><div class="pSmartList1"><ol type="1" class="pSmartList1"><a name="wp526515"> </a><div class="pSmartList1"><li>一次停止一個(gè)節(jié)點(diǎn)代理及與其相關(guān)的服務(wù)器。再次運(yùn)行 <code class="cCode">asadmin</code> <code class="cCode">change-master-password</code> 命令，然后重新啟動(dòng)節(jié)點(diǎn)代理及與其相關(guān)的服務(wù)器。</li></div><a name="wp526517"> </a><div class="pSmartList1"><li>繼續(xù)對下一個(gè)節(jié)點(diǎn)代理執(zhí)行此過程，直到對所有節(jié)點(diǎn)代理均已執(zhí)行此過程。這樣可以完成滾動(dòng)更改。</li></div></ol></div><a name="wp526519"> </a><h5 class="pHeading4"> 更改管理員密碼</h5><a name="wp526525"> </a><p class="pParagraph">“<a  href="security.html#wp526469" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526469">管理密碼安全性</a>”中討論了如何對管理員密碼進(jìn)行加密。強(qiáng)烈建議您對管理員密碼進(jìn)行加密。如果要在對管理員密碼進(jìn)行加密之前更改管理員密碼，請使用 <code class="cCode">asadmin</code> <code class="cCode">set</code> 命令。用于此目的的 <code class="cCode">set</code> 命令的示例如下：</p><a name="wp526527"> </a><code class="pCodelineIndent">asadmin set server.jms-service.jms-host.default_JMS_host.admin-password=<em class="cEmphasis">new_pwd</em></code><a name="wp526529"> </a><p class="pParagraph">還可以使用管理控制臺更改管理員密碼。要使用管理控制臺更改管理員密碼，請執(zhí)行以下步驟。</p><div class="pSmartList1"><ol type="1" class="pSmartList1"><a name="wp526531"> </a><div class="pSmartList1"><li>在管理控制臺的樹組件中，展開“配置”節(jié)點(diǎn)。</li></div><a name="wp526533"> </a><div class="pSmartList1"><li>展開要配置的實(shí)例：</li></div><div class="pSmartList2"><ol type="a" class="pSmartList2"><a name="wp526535"> </a><div class="pSmartList2"><li>要配置特定的實(shí)例，請展開該實(shí)例的配置節(jié)點(diǎn)。例如，對于默認(rèn)實(shí)例 <code class="cCode">server</code>，請展開 <code class="cCode">server-config</code> 節(jié)點(diǎn)。</li></div><a name="wp526537"> </a><div class="pSmartList2"><li>要為所有實(shí)例配置默認(rèn)設(shè)置，請展開 <code class="cCode">default-config</code> 節(jié)點(diǎn)。</li></div></ol></div><a name="wp526539"> </a><div class="pSmartList1"><li>展開“安全性”節(jié)點(diǎn)。</li></div><a name="wp526541"> </a><div class="pSmartList1"><li>展開“區(qū)域”節(jié)點(diǎn)。</li></div><a name="wp526543"> </a><div class="pSmartList1"><li>選擇 <code class="cCode">admin-realm</code> 節(jié)點(diǎn)。 </li></div><a name="wp526545"> </a><div class="pSmartList1"><li>在“編輯區(qū)域”頁面中，單擊“管理用戶”按鈕。</li></div><a name="wp526547"> </a><div class="pSmartList1"><li>選擇名為 <code class="cCode">admin</code> 的用戶。</li></div><a name="wp526549"> </a><div class="pSmartList1"><li>輸入新密碼并確認(rèn)密碼。</li></div><a name="wp526551"> </a><div class="pSmartList1"><li>單擊“保存”以保存新密碼，或單擊“關(guān)閉”以關(guān)閉頁面而不保存新密碼。</li></div></ol></div><a name="wp526555"> </a><h4 class="pHeading3">指定安全職責(zé)</h4><a name="wp526557"> </a><p class="pParagraph">將為以下角色指定安全職責(zé)：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp526563"> </a><div class="pSmartList1"><li><a  href="security.html#wp526579" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526579">應(yīng)用程序開發(fā)者</a></li></div><a name="wp526569"> </a><div class="pSmartList1"><li><a  href="security.html#wp526595" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526595">應(yīng)用程序部署者</a></li></div><a name="wp526575"> </a><div class="pSmartList1"><li><a  href="security.html#wp526611" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526611">系統(tǒng)管理員</a></li></div></ul></div><a name="wp526579"> </a><h5 class="pHeading4">應(yīng)用程序開發(fā)者</h5><a name="wp526581"> </a><p class="pParagraph">應(yīng)用程序開發(fā)者負(fù)責(zé)：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp526583"> </a><div class="pSmartList1"><li>為應(yīng)用程序組件指定角色和基于角色的訪問限制。</li></div><a name="wp526585"> </a><div class="pSmartList1"><li>定義應(yīng)用程序的驗(yàn)證方法并指定受保護(hù)的應(yīng)用程序部分。</li></div></ul></div><a name="wp526587"> </a><p class="pParagraph">應(yīng)用程序開發(fā)者可以使用 <code class="cCode">deploytool</code> 等工具來編輯應(yīng)用程序部署描述符。《The J2EE 1.4 Tutorial》中的 "<em class="cEmphasis">Security</em>" 一章詳細(xì)討論了這些安全性任務(wù)，您可以從以下 URL 中查看該教程：</p><div class="pParaIndent1"><ul class="pParaIndent1"><a name="wp526591"> </a><p class="pParaIndent1"><a  href="javascript:if(confirm('http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html  \n\n該文件無法用 Teleport Ultra 下載, 因?yàn)?它是一個(gè)域或路徑外部被設(shè)置為它的啟始地址的地址。  \n\n你想在服務(wù)器上打開它?'))window.location='http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html'" tppabs="http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html">http://java.sun.com/j2ee/1.4/docs/tutorial/doc/index.html</a></p></ul></div><a name="wp526595"> </a><h5 class="pHeading4">應(yīng)用程序部署者</h5><a name="wp526597"> </a><p class="pParagraph">應(yīng)用程序部署者負(fù)責(zé)：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp526599"> </a><div class="pSmartList1"><li>將用戶或組（或兩者）映射到安全角色。</li></div><a name="wp526601"> </a><div class="pSmartList1"><li>限制訪問組件方法所需的權(quán)限，使?jié)M足特定部署方案的要求。</li></div></ul></div><a name="wp526603"> </a><p class="pParagraph">應(yīng)用程序部署者可以使用 <code class="cCode">deploytool</code> 等工具來編輯應(yīng)用程序部署描述符。《The J2EE 1.4 Tutorial》中的 "<em class="cEmphasis">Security</em>" 一章詳細(xì)討論了這些安全性任務(wù)，您可以從以下 URL 中查看該教程：</p><div class="pParaIndent1"><ul class="pParaIndent1">