除了公共密鑰以外，證書通常還包括以下信息： </p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp527009"> </a><div class="pSmartList1"><li>持有者的姓名和其他標識，例如使用證書的 Web 服務器的 URL 或個人的電子郵件地址。</li></div><a name="wp527011"> </a><div class="pSmartList1"><li>發布證書的 CA 的名稱。</li></div><a name="wp527013"> </a><div class="pSmartList1"><li>失效日期。</li></div></ul></div><a name="wp527017"> </a><p class="pParagraph">數字證書受 x.509 格式的技術規范約束。為檢驗 <code class="cCode">certificate</code> 區域中某個用戶的身份，驗證服務將使用 X.509 證書的通用名稱字段作為主體名稱對 X.509 證書進行檢驗。 </p><a name="wp527019"> </a><h5 class="pHeading4">關于證書鏈</h5><a name="wp527021"> </a><p class="pParagraph">Web 瀏覽器已預先配置了一組瀏覽器自動信任的 <em class="cEmphasis">root</em> CA 證書。來自其他證書授權機構的所有證書都必須附帶<em class="cEmphasis">證書鏈</em>，以檢驗這些證書的有效性。證書鏈是由一系列 CA 發出的證書序列，最終以根 CA 證書結束。 </p><a name="wp527023"> </a><p class="pParagraph">證書最初生成時是一個<em class="cEmphasis">自簽名</em>證書。自簽名證書是其簽發者（簽名者）與主題（其公共密鑰由該證書進行驗證的實體）相同的證書。如果擁有者向 CA 發送證書簽名請求 (CSR)，然后輸入響應，自簽名證書將被證書鏈替換。鏈的底部是由 CA 發布的、用于驗證主題的公共密鑰的證書（回復）。鏈中的下一個證書是驗證 CA 的公共密鑰的證書。通常，這是一個自簽名證書（即，來自 CA、用于驗證其自身的公共密鑰的證書）并且是鏈中的最后一個證書。 </p><a name="wp527025"> </a><p class="pParagraph">在其他情況下，CA 可能會返回一個證書鏈。在此情況下，鏈的底部證書是相同的（由 CA 簽發的證書，用于驗證密鑰條目的公共密鑰），但是鏈中的第二個證書是由其他 CA 簽發的證書，用于驗證您向其發送了 CSR 的 CA 的公共密鑰。然后，鏈中的下一個證書是用于驗證第二個 CA 的密鑰的證書，依此類推，直至到達自簽名的<em class="cEmphasis">根</em>證書。因此，鏈中的每個證書（第一個證書之后的證書）都需要驗證鏈中前一個證書的簽名者的公共密鑰。</p><a name="wp527029"> </a><h4 class="pHeading3">關于安全套接字層</h4><a name="wp527031"> </a><p class="pParagraph"><em class="cEmphasis">安全套接字層</em> (SSL) 是用來確保 Internet 通信和事務安全的最常見的標準。Web 應用程序使用 HTTPS（基于 SSL 的 HTTP），HTTPS 使用數字證書來確保在服務器和客戶機之間進行安全、保密的通信。在 SSL 連接中，客戶機和服務器在發送數據之前都要對數據進行加密，然后由收件人對其進行解密。</p><a name="wp527033"> </a><p class="pParagraph">當 Web 瀏覽器（客戶機）需要與某個安全站點建立連接時，則會發生 <em class="cEmphasis">SSL 握手</em>：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp527035"> </a><div class="pSmartList1"><li>瀏覽器將通過網絡發送請求安全會話的消息（通常請求以 <code class="cCode">https</code> 開頭而非 <code class="cCode">http</code> 開頭的 URL）。</li></div><a name="wp527037"> </a><div class="pSmartList1"><li>服務器通過發送其證書（包括公共密鑰）進行響應。</li></div><a name="wp527039"> </a><div class="pSmartList1"><li>瀏覽器將檢驗服務器的證書是否有效，并且該證書是否是由其證書位于瀏覽器的數據庫中的 CA（并且是受信任的 CA）所簽發的。它還將檢驗 CA 證書是否已過期。</li></div><a name="wp527041"> </a><div class="pSmartList1"><li>如果證書有效，瀏覽器將生成一個一次性的、唯一的<em class="cEmphasis">會話密鑰</em>，并使用服務器的公共密鑰對該會話密鑰進行加密。然后，瀏覽器將把加密的會話密鑰發送給服務器，這樣服務器和瀏覽器都有一份會話密鑰。</li></div><a name="wp527043"> </a><div class="pSmartList1"><li>服務器可以使用其專用密鑰對消息進行解密，然后恢復會話密鑰。</li></div></ul></div><a name="wp527045"> </a><p class="pParagraph">握手之后，即表示客戶機已檢驗了 Web 站點的身份，并且只有該客戶機和 Web 服務器擁有會話密鑰副本。從現在開始，客戶機和服務器便可以使用該會話密鑰對彼此間的所有通信進行加密。這樣就確保了客戶機和服務器之間的通信的安全性。</p><a name="wp527051"> </a><p class="pParagraph">SSL 標準的最新版本稱為 TLS（傳輸層安全性）。Application Server 支持安全套接字層 (SSL) 3.0 和傳輸層安全性 (TLS) 1.0 加密協議。 </p><a name="wp527061"> </a><p class="pParagraph">要使用 SSL，Application Server 必須擁有接受安全連接的每個外部接口或 IP 地址的證書。只有安裝了數字證書之后，大多數 Web 服務器的 HTTPS 服務才能夠運行。請使用“<a  href="security.html#wp530046" tppabs="http://docs.sun.com/source/819-1553/security.html#wp530046">生成服務器證書</a>”中說明的過程來設置您的 Web 服務器可以用于 SSL 的數字證書。</p><a name="wp527065"> </a><h5 class="pHeading4">關于加密算法</h5><a name="wp527067"> </a><p class="pParagraph"><em class="cEmphasis">加密算法</em>是用于加密或解密的加密算法。SSL 和 TLS 協議支持用于服務器和客戶機彼此進行驗證、傳輸證書和建立會話密鑰的各種加密算法。 </p><a name="wp527069"> </a><p class="pParagraph">某些加密算法比其他加密算法更強大且更安全。客戶機和服務器可以支持不同的加密算法套件。從 SSL3 和 TLS 協議中選擇加密算法。在安全連接期間，客戶機和服務器同意在通信中使用它們均已啟用的最強大的加密算法，因此通常需要啟用所有加密算法。</p><a name="wp527071"> </a><h5 class="pHeading4">使用基于名稱的虛擬主機</h5><a name="wp527073"> </a><p class="pParagraph">對安全應用程序使用基于名稱的虛擬主機可能會帶來問題。這是 SSL 協議本身的設計限制。必須先進行 SSL 握手（客戶機瀏覽器在這時接受服務器證書），然后才能訪問 HTTP 請求。這樣，在驗證之前就無法確定包含虛擬主機名的請求信息，因此也不能將多個證書指定給單個 IP 地址。 </p><a name="wp527075"> </a><p class="pParagraph">如果單個 IP 地址上的所有虛擬主機都需要通過同一證書的驗證，則添加多個虛擬主機將不會影響服務器上正常的 SSL 操作。但是請注意，大多數瀏覽器會將服務器的域名與證書中列出的域名（如果有的話，也主要適用于官方的 CA 簽名證書）進行比較。如果域名不匹配，這些瀏覽器將顯示警告。通常在生產環境中，只將基于地址的虛擬主機與 SSL 一起使用。 </p><a name="wp527081"> </a><h3 class="pHeading2">關于防火墻 </h3><a name="wp527087"> </a><p class="pParagraph"><em class="cEmphasis">防火墻</em>控制兩個或多個網絡之間的數據流，并管理網絡之間的鏈接。防火墻可以包含硬件和軟件元素。本節介紹了一些常用的防火墻體系結構及其配置。此處的信息主要是針對 Application Server 的。有關特定防火墻技術的詳細信息，請參閱防火墻供應商提供的文檔。</p><a name="wp527089"> </a><p class="pParagraph">通常，需要對防火墻進行配置，以便客戶機訪問所需的 TCP/IP 端口。例如，如果 HTTP 偵聽器正在端口 8080 上運行，則將防火墻配置為僅允許處理端口 8080 上的 HTTP 請求。同樣地，如果為端口 8181 設置了 HTTPS 請求，則必須將防火墻配置為允許處理端口 8181 上的 HTTPS 請求。</p><a name="wp527091"> </a><p class="pParagraph">如果需要通過 Internet 對 EJB 模塊進行直接的 RMI-IIOP 訪問，RMI-IIOP 全稱為 Remote Method Invocations over Internet Inter-ORB Protocol（通過基于 Internet 的 ORB 間協議的遠程方法調用），則還需要打開 RMI-IIOP 偵聽器端口，但強烈建議您不要這樣做，因為這樣可能會破壞安全性。 </p><a name="wp527097"> </a><p class="pParagraph">在雙防火墻體系結構中，您必須將外部防火墻配置為允許處理 HTTP 和 HTTPS 事務。您必須將內部防火墻配置為允許 HTTP 服務器插件與防火墻后面的 Application Server 進行通信。</p><a name="wp527103"> </a><h3 class="pHeading2">使用管理控制臺管理安全性</h3><a name="wp527105"> </a><p class="pParagraph">管理控制臺提供了對安全性的以下方面進行管理的方法：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp527111"> </a><div class="pSmartList1"><li><a  href="security.html#wp527157" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527157">服務器安全性設置</a></li></div><a name="wp527117"> </a><div class="pSmartList1"><li><a  href="security.html#wp527175" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527175">區域和 file 區域用戶</a></li></div><a name="wp527123"> </a><div class="pSmartList1"><li><a  href="security.html#wp527227" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527227">JACC 提供者</a></li></div><a name="wp527129"> </a><div class="pSmartList1"><li><a  href="security.html#wp527273" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527273">審計模塊</a></li></div><a name="wp527135"> </a><div class="pSmartList1"><li><a  href="security.html#wp527329" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527329">消息安全性</a></li></div><a name="wp527141"> </a><div class="pSmartList1"><li><a  href="security.html#wp527401" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527401">HTTP 和 IIOP 偵聽器安全性</a></li></div><a name="wp527147"> </a><div class="pSmartList1"><li><a  href="security.html#wp527455" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527455">管理服務安全性</a></li></div><a name="wp527153"> </a><div class="pSmartList1"><li><a  href="security.html#wp527483" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527483">安全映射</a></li></div></ul></div><a name="wp527157"> </a><h4 class="pHeading3">服務器安全性設置</h4><a name="wp527163"> </a><p class="pParagraph">在“安全性設置”頁面中，設置整個服務器的屬性，包括指定默認區域、匿名角色和默認的主體用戶名和密碼。有關更多信息，請參見“<a  href="security.html#wp527565" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527565">配置安全性設置</a>”。</p><a name="wp527175"> </a><h4 class="pHeading3">區域和 file 區域用戶</h4><a name="wp527181"> </a><p class="pParagraph">“<a  href="security.html#wp526844" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526844">了解用戶、組、角色和區域</a>”中介紹了區域的概念。使用管理控制臺可以執行以下任務：</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp527183"> </a><div class="pSmartList1"><li>創建新區域</li></div><a name="wp527185"> </a><div class="pSmartList1"><li>刪除現有區域</li></div><a name="wp527187"> </a><div class="pSmartList1"><li>修改現有區域的配置</li></div><a name="wp527189"> </a><div class="pSmartList1"><li>添加、修改和刪除 <code class="cCode">file</code> 區域中的用戶</li></div><a name="wp527191"> </a><div class="pSmartList1"><li>設置默認區域</li></div></ul></div><a name="wp527197"> </a><p class="pParagraph">有關這些任務的詳細信息，請參見“<a  href="security.html#wp527702" tppabs="http://docs.sun.com/source/819-1553/security.html#wp527702">有關區域的管理控制臺任務</a>”。</p><a name="wp527227"> </a><h4 class="pHeading3">JACC 提供者</h4><a name="wp527233"> </a><p class="pParagraph">“<a  href="security.html#wp526728" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526728">指定 JACC 提供者</a>”中介紹了 JACC 提供者。使用管理控制臺可以執行以下任務：</p><a name="wp527235"> </a><p class="pParagraph">添加新的 JACC 提供者</p><div class="pSmartList1"><ul class="pSmartList1"><a name="wp527237"> </a><div class="pSmartList1"><li>刪除或修改現有 JACC 提供者</li></div></ul></div><a name="wp527243"> </a><p class="pParagraph">有關這些任務的詳細信息，請參見“<a  href="security.html#wp528457" tppabs="http://docs.sun.com/source/819-1553/security.html#wp528457">有關 JACC 提供者的管理控制臺任務</a>”。</p><a name="wp527273"> </a><h4 class="pHeading3">審計模塊</h4><a name="wp527287"> </a><p class="pParagraph">“<a  href="security.html#wp526742" tppabs="http://docs.sun.com/source/819-1553/security.html#wp526742">審計驗證和授權決策</a>”中介紹了審計模塊。審計是記錄重要事件（例如錯誤或安全漏洞）以便隨后進行檢查的方法。所有驗證事件都被記錄到 Application Server 日志中。完整的訪問日志提供了 Application Server 訪問事件的順序線索。</p><a name=