bfclient.conf 文件存储有关 Build Forge 安全性的设置。该文件位于 Build Forge 安装根目录中。
bfclient.conf 文件包含用于启用安全通信(SSL)和密码加密的设置。它包含以下部分:
- 连接属性
- 登录属性
- 用于 OpenSSL 和 JSSE 的 SSL 属性
- 仅用于 OpenSSL 的 SSL 属性
- 仅用于 JSSE 的 SSL 属性
- 密钥库属性(bf_keystore_*)
- 密码属性
表 1. 连接属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_services_hostname |
在安装期间指定 |
不适用 |
是 |
Build Forge 服务层所在的主机名 |
bf_services_tcp_port |
在安装期间指定 |
不适用 |
是 |
用于连接 Build Forge 服务的 TCP 端口。当未指定 SSL 时将使用此端口。 |
bf_services_ssl_port |
在安装期间指定 |
不适用 |
是 |
用于安全地连接至 Build Forge 服务的 SSL 端口 |
bf_services_preferred_protocol |
tcp |
ssl,tcp |
是 |
对于 Perl 或 PHP 客户机,指定 SSL 或 TCP 以建立连接。对于 Java 客户机,SecureAPIClientConnection 对象指定 SSL,而 APIClientConnection 指定 TCP。 |
表 2. 登录属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_login_user |
无 |
Build Forge 用户列表中的用户标识 |
否 |
用作登录标识。还可以在客户机程序中指定登录标识。 |
bf_login_password |
无 |
bf_login_user 的密码 |
是(如果使用 bf_login_user) |
bf_login_user 的密码 |
bf_login_realm |
无 |
LDAP 域名 |
否 |
如果用户未处于用户表中,那么是要查询的 LDAP 域。 |
表 3. 用于 openSSL 和 JSSE 的 SSL 属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_ssl_usage |
无 |
jsse,openssl |
是 |
选择 SSL 实施。根据该选择,将提供各种不同的属性。 |
bf_ssl_cipher_group |
ALL |
ALL、HIGH、
MEDIUM 和 LOW |
否 |
指定在 SSL 握手期间要提供的一组密码。HIGH 最安全,LOW 提供最佳的性能,ALL 提供了最好的互操作性。 |
bf_ssl_cipher_override |
无 |
所提供的密码套件 |
否 |
覆盖 bf_ssl_cipher_group。
可用于选择要在 SSL 握手期间使用的一组数量更少的密码。 |
bf_ssl_protocol |
TLSv1 |
TLSv1,SSLv3。可因实施而异。 |
否 |
用于 SSL 的握手协议。TLSv1 是首选协议。 |
bf_ssl_cert_alias |
无 |
所配置密钥库中的有效证书别名 |
否 |
指定要使用的证书。同一密钥库中可能存在多个证书。 |
表 4. 仅用于 openSSL 的 SSL 属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_ssl_key_ref |
openssl_key |
包含专用密钥的任何有效 PEM 密钥库引用 |
否 |
对密钥库配置的引用,其中包含客户机在连接至服务器时要使用的专用密钥。
使用时,还必须在 bf_ssl_cert_ref 中指定该专用密钥的有效证书。仅当服务器设置为请求个人证书时才使用。 |
bf_ssl_cert_ref |
openssl_cert |
包含所指定专用密钥的证书的任何有效 PEM 密钥库引用 |
否 |
对密钥库配置的引用,其中包含以上专用密钥的证书。仅当服务器设置为请求个人证书时才使用。 |
bf_ssl_ca_ref |
openssl_ca |
任何有效的 PEM 密钥库引用,其中包含一个或多个证书,用于验证该客户机连接至的服务器证书 |
是 |
对密钥库配置的引用,其中包含在 SSL 握手期间用于验证服务器证书的一个或多个签署者证书。证书可以是 CA 根证书、中间证书或自签署证书。 |
表 5. 仅用于 JSSE 的 SSL 属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_ssl_keystore_ref |
jsse_keystore |
包含 keyEntry(专用密钥和证书)的任何有效 PKCS12、JKS 或 JCEKS 密钥库引用 |
否 |
对密钥库配置的引用,其中包含客户机连接至服务器时要使用的个人证书(专用密钥和相关证书)。仅当服务器请求客户机认证的个人证书时,这才是必要的。 |
bf_ssl_truststore_ref |
jsse_truststore |
包含 keyEntry(专用密钥和证书)的任何有效 PKCS12、JKS 或 JCEKS 密钥库引用 |
是 |
对密钥库配置的引用,其中包含在 SSL 握手期间用于验证服务器证书的签署者证书。密钥库包含一个或多个 trustedCertEntry,它们是用于验证其他证书签名的证书。 |
表 6. 密钥库属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_keystore_alias |
各不相同 |
字符串 |
是 |
这是 SSL 配置引用密钥库配置所用的名称。 |
bf_keystore_location |
各不相同 |
所指定类型的密钥库的相对或标准路径。 |
是 |
这是所指定类型的密钥库的路径和位置。该路径可以是相对路径,但对于启动目录必须是正确的。 |
bf_keystore_type |
PEM(对于 openssl),
PKCS12(对于 jsse) |
PEM(对于 openssl)。PKCS12,
JCEKS 或 JKS(对于“jsse”) |
是 |
密钥库的类型。必须与 bf_keystore_location 属性所引用的实际密钥库类型相匹配。 |
bf_keystore_password |
在安装期间指定 |
受密钥库类型支持的字符串。某些密钥库不支持非 ASCII 字符串。 |
否 |
用于访问密钥库的密码。对于 OpenSSL,仅包含公用密钥的 Cert 和 CA 密钥库通常不需要密码。 |
表 7. 密码属性属性名 |
缺省 |
可能值 |
必需 |
描述 |
bf_pw_crypt_enabled |
false |
true,false |
否 |
指定密码是已编码(false)或是已加密(true)。启用时,密码加密实施使用 bfclient.conf 所在目录中名为 bfpwcrypt.conf 的文件。 |