您可在“安全”面板中启用安全服务:
- SSL:在此面板中启用 SSL 只是在整个系统中启用 SSL 安全功能的一部分。在启用前后还需要完成其他工作。
- 密码加密:在此启用密码加密只是在整个系统中启用密码加密的一部分。
要查看“安全”面板,请选择。
要点: 在“安全”面板中只能完成部分设置。要了解更多信息,请参阅
安全性功能。
启用 SSL
安装先决条件:安装过程中需要指定 SSL 配置使用的两项设置:
- SSL 端口,在“Web 和应用程序服务器”面板中指定。该端口必须与下面选择的配置中指定的端口匹配。安装期间和配置时的缺省端口是 8443。Apache Tomcat 上的认证 servlet 在登录时使用该端口对用户登录凭证进行编码或加密。
- 证书,在“Web 和应用程序服务器”面板中指定。您或者提供了您自己的证书,或者已允许安装程序为您创建自签名证书。该证书存储在缺省密钥库中。密钥库的位置在指定的 SSL 配置中定义。
- 将启用 SSL 设置为“是”。其他属性如下所示:
- LDAP 出站:指定通过 LDAP 进行的出站通信所用的配置。 缺省值为“缺省 JSSE 出站 SSL”。
- 引擎到代理程序缺省出站:指定从引擎组件到代理程序的通信所用的配置。缺省值为“缺省 OpenSSL 出站 SSL”。
- 服务层入站:指定服务层组件接受来自 Web 接口组件和引擎组件的通信所用的配置。缺省值为“缺省 JSSE 入站 SSL”。
- 服务层出站(JSSE):指定引擎组件、Web 接口组件和服务层组件与数据库通信所用的 JSSE 配置。
缺省值为“缺省 JSSE 出站 SSL”。
- 服务层出站(OpenSSL):指定引擎组件、Web 接口组件和服务层组件与数据库通信所用的 OpenSSL 配置。
缺省值为“缺省 OpenSSL 出站 SSL”。
- 单击保存。
- 单击更新主 BFClient.conf。此步骤使用这些属性设置来编辑 BFClient.conf 文件。
- 重新启动 Build Forge。安全通信在系统使用这些设置启动后才生效。
您选择的配置在 SSL 面板中定义。
在此面板中启用 SSL 后的要求:
- 证书分发:证书必须安装在代理程序主机、数据库主机和任何其他在运行的 Build Forge 安装(冗余配置)的密钥库中。
- 代理程序 SSL 启用:如果要对引擎组件和代理程序之间的通信使用 SSL,每个代理程序都必须配置为使用 SSL。
- API 客户机启用:所有 API 客户机都必须配置 SSL 以与服务层组件通信。
启用密码加密
先决条件:
- SSL 端口,在“Web 和应用程序服务器”面板中指定。该端口必须与下面选择的配置中指定的端口匹配。安装期间和配置时的缺省端口是 8443。Apache Tomcat 上的认证 servlet 在登录时使用该端口对用户登录凭证进行编码或加密。
- 证书,在“Web 和应用程序服务器”面板中指定。您或者提供了您自己的证书,或者已允许安装程序为您创建自签名证书。该证书存储在缺省密钥库中。密钥库的位置在指定的 SSL 配置中定义。
- 将启用密码加密设置为“是”。
- 单击保存。
- 单击更新主 BFClient.conf。此步骤使用这些属性设置来编辑 BFClient.conf 文件。
- 重新启动 Build Forge。密码加密在系统使用这些设置启动后才生效。
- 启用密码加密后,在控制台输入的任何新密码都将被加密,包括“服务器认证”密码和在控制台中为用户创建的用户密码。
其他要求:
启用加密后,需要执行以下操作:
- 在所有代理程序上启用加密。导出密钥,并用该密钥更新每个代理程序配置中的服务器认证密码。该密码必须在 BFAgent.conf 中手动更新。
- 对数据库访问启用加密密码。导出密钥,并用该密钥更新 Build Forge 用于登录到数据库的数据库密码。该密码必须在 buildforge.conf 中手动更新。