You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
使用者指南<br />
附錄 D:伺服器代理程式安全性和信任憑證<br />
每個核心伺服器都有一個唯一的憑證和私密金鑰,它是您首次在伺服器上安裝控制台時,由安裝程<br />
式所建立的。只有在伺服器具備與核心伺服器相符的信任憑證檔案的情況下,才能與這些伺服器進<br />
行通訊。<br />
私密金鑰和憑證檔案內含‥<br />
176<br />
• .key—.KEY 檔案是核心伺服器的私密金鑰,該檔案只駐留在核心伺服器上。<br />
一旦此密鑰洩密,就無法保障核心伺服器與伺服器之間的通訊安全。請保護好此密鑰。例<br />
如,不要使用電子郵件來傳遞密鑰資訊。<br />
• .crt—.CRT 檔案含有核心伺服器的公用密鑰。.CRT 檔案是以方便檢視的方式<br />
顯示的公用密鑰內容,您可以從中檢視有關該密鑰的詳細資訊。<br />
• .0—.0 檔案是信任憑證檔案,其內容與 .CRT 檔案相同。不過,該檔案的命名方式<br />
使得電腦能夠在含有許多不同憑證的目錄中迅速找到該憑證檔案。其名稱是憑證主題資訊<br />
的雜湊值 (總和) 。若要確定特定憑證的雜湊檔案名稱,請檢視 .CRT 檔案。該<br />
檔案中含有一個 .INI 檔案部分 [LDMS]。hash=value 對指示 值。<br />
所有密鑰都儲存在核心伺服器上的 \Program Files\<strong>LANDesk</strong>\Shared Files\Keys 目錄中。.0<br />
公共密鑰也位於 LDLOGON 目錄中,且依照預設必須位於該位置。 是您在控制台安裝<br />
期間所提供的憑證名稱。在安裝時最好提供描述性的密鑰名稱,如使用核心伺服器的名稱 (甚至使<br />
用其完整名稱) 作為密鑰名稱 (例如‥ldcore 或 ldcore.org.com) 。這樣一來,在多核心伺服器的環<br />
境中更易於識別不同的憑證/私密金鑰檔案。<br />
備份和還原核心伺服器之間的憑證/私密金鑰檔案<br />
當您安裝核心伺服器時,安裝程式會建立新憑證。如果您在現有的核心伺服器上重新安裝,安裝程<br />
式仍會建立新憑證。如果您以不符合新核心伺服器憑證的憑證來安裝伺服器,核心伺服器就無法與<br />
這些伺服器通訊。如果您需要重新安裝核心伺服器,則有兩個選擇:<br />
1. 利用新核心伺服器建立的組態,手動重新安裝伺服器代理程式。您將無法使用軟體分發來<br />
更新代理程式,因為核心伺服器和伺服器不會有相符的憑證和密鑰。<br />
2. 重新安裝核心伺服器之前,請先將現有的憑證和密鑰檔案備份到安全的地方。重新安裝之<br />
後,請將舊密鑰複製到新的核心伺服器安裝。新舊密鑰可以並存。核心伺服器將自動使用<br />
適當的密鑰。<br />
核心伺服器可含有多個憑證/私密金鑰檔案。只要用戶端能夠使用密鑰之一通過核心伺服器上的身<br />
份驗證,就可以與該核心伺服器通訊。<br />
儲存和還原憑證/私密金鑰組<br />
1. 在來源核心伺服器上,到 \Program Files\<strong>LANDesk</strong>\Shared Files\Keys 資料夾。<br />
2. 將來源伺服器的.key、.crt 和 .0 檔案複製到磁片或其他安<br />
全的地方。<br />
3. 在目標核心伺服器上,將來源核心伺服器上的這些檔案複製到同一資料夾 (\Program<br />
Files\<strong>LANDesk</strong>\Shared Files\Keys) 中。密鑰會立即生效。