证书letmein

OracleSecureGlobalDesktopGateway发行版5.
1管理指南E41720-012013年10月OracleSecureGlobalDesktop:Gateway发行版5.
1管理指南版权所有2013,Oracle和/或其附属公司.
保留所有权利.
Oracle和Java是Oracle和/或其附属公司的注册商标.
其他名称可能是各自所有者的商标.
Intel和IntelXeon是IntelCorporation的商标或注册商标.
所有SPARC商标均是SPARCInternational,Inc的商标或注册商标,并应按照许可证的规定使用.
AMD、Opteron、AMD徽标以及AMDOpteron徽标是AdvancedMicroDevices的商标或注册商标.
UNIX是TheOpenGroup的注册商标.
本软件和相关文档是根据许可证协议提供的,该许可证协议中规定了关于使用和公开本软件和相关文档的各种限制,并受知识产权法的保护.
除非在许可证协议中明确许可或适用法律明确授权,否则不得以任何形式、任何方式使用、拷贝、复制、翻译、广播、修改、授权、传播、分发、展示、执行、发布或显示本软件和相关文档的任何部分.
除非法律要求实现互操作,否则严禁对本软件进行逆向工程设计、反汇编或反编译.

此文档所含信息可能随时被修改,恕不另行通知,我们不保证该信息没有错误.
如果贵方发现任何问题,请书面通知我们.

如果将本软件或相关文档交付给美国政府,或者交付给以美国政府名义获得许可证的任何机构,必须符合以下规定:U.
S.
GOVERNMENTENDUSERS:Oracleprograms,includinganyoperatingsystem,integratedsoftware,anyprogramsinstalledonthehardware,and/ordocumentation,deliveredtoU.
S.
Governmentendusersare"commercialcomputersoftware"pursuanttotheapplicableFederalAcquisitionRegulationandagency-specificsupplementalregulations.
Assuch,use,duplication,disclosure,modification,andadaptationoftheprograms,includinganyoperatingsystem,integratedsoftware,anyprogramsinstalledonthehardware,and/ordocumentation,shallbesubjecttolicensetermsandlicenserestrictionsapplicabletotheprograms.
NootherrightsaregrantedtotheU.
S.
Government.
本软件或硬件是为了在各种信息管理应用领域内的一般使用而开发的.
它不应被应用于任何存在危险或潜在危险的应用领域,也不是为此而开发的,其中包括可能会产生人身伤害的应用领域.
如果在危险应用领域内使用本软件或硬件,贵方应负责采取所有适当的防范措施,包括备份、冗余和其它确保安全使用本软件或硬件的措施.
对于因在危险应用领域内使用本软件或硬件所造成的一切损失或损害,OracleCorporation及其附属公司概不负责.
本软件或硬件以及文档可能提供了访问第三方内容、产品和服务的方式或有关这些内容、产品和服务的信息.
对于第三方内容、产品和服务,OracleCorporation及其附属公司明确表示不承担任何种类的担保,亦不对其承担任何责任.
对于因访问或使用第三方内容、产品或服务所造成的任何损失、成本或损害,OracleCorporation及其附属公司概不负责.
摘要本指南介绍了如何安装、配置和操作OracleSecureGlobalDesktopGateway.
文档生成日期:2013-11-25(revision:2259)iii目录前言v1目标读者v2文档结构v3文档可访问性v4相关文档v5约定v1安装SGDGateway11.
1关于SGDGateway11.
2系统要求11.
2.
1已知问题11.
3执行安装11.
3.
1如何安装SGDGateway21.
4升级SGDGateway31.
4.
1如何升级SGDGateway32配置SGDGateway52.
1部署SGDGateway52.
1.
1基本部署52.
1.
2负载平衡部署62.
2SGDGateway配置任务82.
2.
1客户端设备到SGDGateway的连接82.
2.
2SGDGateway到SGD服务器的连接112.
2.
3客户端设备到负载平衡器的连接132.
2.
4负载平衡器到SGDGateway的连接132.
3控制SGDGateway142.
3.
1启动SGDGateway142.
3.
2停止SGDGateway142.
3.
3重新启动SGDGateway142.
4删除SGDGateway142.
4.
1如何删除SGDGateway15ASGDGateway体系结构概述17A.
1SGDGateway体系结构17A.
2SGDGateway的组件20A.
2.
1关于路由令牌21A.
2.
2SGDGateway使用的密钥库21A.
2.
3路由代理配置文件21A.
2.
4ApacheWeb服务器配置文件22A.
2.
5SGDGateway使用的Apache模块22B命令行参考23B.
1gateway命令23B.
2gatewaycertexport24B.
3gatewayconfig24B.
4gatewayconfigcreate25B.
5gatewayconfigdisable25B.
6gatewayconfigedit26B.
7gatewayconfigenable27B.
8gatewayconfiglist28B.
9gatewaykeyimport29B.
10gatewayrestart30B.
11gatewayserver30B.
12gatewayserveradd30B.
13gatewayserverlist31B.
14gatewayserverremove32B.
15gatewaysetup32B.
16gatewaysslcert32B.
17gatewaysslcertexport33B.
18gatewaysslcertprint33B.
19gatewaysslkey34OracleSecureGlobalDesktopivB.
20gatewaysslkeyexport34B.
21gatewaysslkeyimport34B.
22gatewaystart35B.
23gatewaystatus36B.
24gatewaystop36B.
25gatewayuninstall37B.
26gatewayversion37B.
27tarantellagateway命令37B.
28tarantellagatewayadd38B.
29tarantellagatewaylist39B.
30tarantellagatewayremove39B.
31--security-gateway属性39C高级配置43C.
1调整SGDGateway43C.
1.
1更改AIP最大连接数43C.
1.
2更改Websocket最大连接数44C.
1.
3更改HTTP最大连接数44C.
1.
4更改JVM内存大小44C.
2为平板电脑设备连接配置数据压缩45C.
3配置HTTP重定向45C.
4更改SGDGateway的绑定端口45C.
5使用未加密的SGD阵列连接46C.
5.
1配置Gateway以使用未加密的SGD阵列连接46C.
6使用外部SSL加速器47C.
6.
1如何启用外部SSL加速器支持47C.
7配置SGDGateway的密码47C.
7.
1如何为Gateway配置密码47C.
8将客户端证书用于SGDGateway48C.
8.
1如何将SGDGateway配置为使用客户端证书48C.
8.
2如何为客户端证书生成CSR49C.
9启用BalancerManager应用程序49C.
10反射服务50C.
10.
1启用反射服务50C.
10.
2使用反射服务52DSGDGateway故障排除55D.
1日志记录和诊断55D.
1.
1关于SGDGateway日志记录55D.
1.
2显示SGDGateway进程信息56D.
1.
3从命令行检查配置56D.
2更改SGD服务器的对等DNS名称56D.
3SGDGateway错误消息57v前言《OracleSecureGlobalDesktopGateway管理指南》提供了有关安装、配置和操作OracleSecureGlobalDesktop(SGDGateway)的说明.
本文档是为系统管理员编写的.
1目标读者本文档的目标读者是SGDGateway的新用户.
本文档假定读者熟悉Web技术,并对Windows和UNIX平台有一般性的了解.
2文档结构本文档的结构如下所示:第1章安装SGDGateway介绍如何安装SGDGateway.
第2章配置SGDGateway介绍如何为您的网络配置SGDGateway.
附录A,SGDGateway体系结构概述介绍SGDGateway的体系结构.
附录B,命令行参考介绍如何从命令行配置和控制SGDGateway.
附录C,高级配置介绍SGDGateway的高级配置,包括如何配置和使用SGDGateway的反射服务.
附录D,SGDGateway故障排除包括故障排除信息,以帮助您诊断和修复SGDGateway的问题.
3文档可访问性有关Oracle对可访问性的承诺,请访问OracleAccessibilityProgram网站http://www.
oracle.
com/pls/topic/lookupctx=acc&id=docacc.
获得Oracle支持Oracle客户可通过MyOracleSupport获得电子支持.
有关信息,请访问http://www.
oracle.
com/pls/topic/lookupctx=acc&id=info;如果您听力受损,请访问http://www.
oracle.
com/pls/topic/lookupctx=acc&id=trs.
4相关文档可从以下位置访问此产品的文档:http://www.
oracle.
com/technetwork/documentation/sgd-193668.
html有关更多信息,请参见以下手册:《OracleSecureGlobalDesktop管理指南》《OracleSecureGlobalDesktop安装指南》《OracleSecureGlobalDesktop用户指南》《OracleSecureGlobalDesktop平台支持和发行说明》《OracleSecureGlobalDesktopSecurityGuide》5约定本文档中使用了以下文本约定.
约定含义粗体粗体类型用于指示与操作相关的图形用户界面元素,或者在文本或词汇表中定义的术语.
约定vi约定含义斜体斜体类型用于指示书名、重点内容或要为其提供特定值的占位符变量.

等宽字体等宽字体类型用于指示段落、URL、示例中代码、屏幕显示文本或您输入的文本中的命令.
1第1章安装SGDGateway以下是对OracleSecureGlobalDesktopGateway(SGDGateway)的简要介绍,本章说明了如何安装SGDGateway软件.
本章还详细介绍了SGDGateway的系统要求.
本章包括以下主题:第1.
1节"关于SGDGateway"第1.
2节"系统要求"第1.
3节"执行安装"第1.
4节"升级SGDGateway"1.
1关于SGDGatewaySGDGateway是一种代理服务器,用于部署在隔离区(DemilitarizedZone,DMZ)中SGD阵列的前端.
这使得SGD阵列能够位于组织的内部网络中.
此外,在与阵列中的SGD服务器建立连接之前,可以先在DMZ中对所有连接进行验证.
使用SGDGateway可以代替运行SGD服务器搭配防火墙穿越(也称为防火墙转发)功能.
SGDGateway可管理HTTP连接的负载平衡,因此,您无需使用SGD随附的JavaServerPages(JSP)技术负载平衡页面.
1.
2系统要求《OracleSecureGlobalDesktop平台支持和发行说明》中列出了SGDGateway主机支持的安装平台.
对于与SGDGateway配合使用的SGD服务器,需要满足以下要求:安全模式.
默认情况下,SGDGateway使用到SGD服务器的安全连接.
SGD服务器必须启用安全连接.
绝对不要启用防火墙转发.
在标准安装中,SGD服务器将自动配置为使用安全连接,并且防火墙转发处于禁用状态.
如果需要有关如何保护SGD服务器安全的信息,请参见SecureConnectionstoSGDServers.
SGD版本.
最好将5.
1版SGD与5.
1版Gateway一起使用.
尽可能使用Gateway的最新版本.
时钟同步.
请务必使SGD服务器上的系统时钟与SGDGateway上的系统时钟保持同步.
使用网络时间协议(NetworkTimeProtocol,NTP)软件或rdate命令来确保时钟同步.
有关SGD服务器系统要求的更多信息,请参见《OracleSecureGlobalDesktop平台支持和发行说明》.
1.
2.
1已知问题有关此SGDGateway发行版的已知问题的详细信息,请参见《OracleSecureGlobalDesktop平台支持和发行说明》.
1.
3执行安装在OracleSolaris平台上,请使用pkgadd命令安装SGDGateway.
在Linux平台上,请使用rpm命令安装SGDGateway.
默认情况下,SGDGateway安装在/opt/SUNWsgdg目录中.
您可以按如下方式更改安装目录:OracleSolaris平台-当您安装本软件时,安装程序会要求您指定安装目录.
Linux平台-当您安装本软件时,可使用带--prefix选项的rpm命令选择一个不同的安装目录.
如何安装SGDGateway21.
3.
1如何安装SGDGateway1.
将SGDGateway软件包保存到主机上的一个临时目录中.
如果您是从安装介质进行安装,则软件包位于gateway目录中.
或者,也可以通过SGDWeb服务器从https://server.
example.
com下载安装程序,其中server.
example.
com是SGD服务器的名称.
显示SGDWeb服务器欢迎页面后,单击"InstalltheOracleSecureGlobalDesktopGateway"(安装OracleSecureGlobalDesktopGateway).
软件包文件包括:SUNWsgdg-version.
sol-x86.
pkg(适用于x86平台上的OracleSolaris)SUNWsgdg-version.
sol-sparc.
pkg(适用于SPARC技术平台上的OracleSolaris)SUNWsgdg-version.
i386.
rpm(适用于Linux平台)其中version是SGDGateway的版本号.
2.
在主机上,以超级用户(root)身份登录.
3.
安装SGDGateway.
如果软件包文件是压缩文件,则在安装之前必须先解压缩.
在x86平台上的OracleSolaris中安装:#pkgadd-d/tempdir/SUNWsgdg-version.
sol-x86.
pkg在SPARC技术平台上的SolarisOS中安装:#pkgadd-d/tempdir/SUNWsgdg-version.
sol-sparc.
pkg注意在OracleSolaris平台上,如果安装失败,且错误消息为"pwd:cannotdeterminecurrentdirectory!
",请转至/tempdir目录并重试.
在Linux平台上安装:#rpm-Uvh/tempdir/SUNWsgdg-version.
i386.
rpm4.
检验是否已在软件包数据库中注册了SGDGateway软件包.
在OracleSolaris平台上:#pkginfo-xSUNWsgdg在Linux平台上:#rpm-qa|grep-iSUNWsgdg5.
运行SGDGateway安装程序.
#/opt/SUNWsgdg/bin/gatewaysetupSGDGateway安装程序会提供以下设置,您可以接受或更改它们:SGDGateway端口设置.
SGDGateway用于传入连接的接口和端口.
默认情况下,SGDGateway侦听所有接口上的443端口.
升级SGDGateway3网络入口点.
客户端设备用于连接到SGDGateway的IP地址或域名系统(DomainNameSystem,DNS)名称和端口.
它并非总是与SGDGateway的地址相同.
可以是负载平衡器的地址,也可以是其他外部设备的地址,具体取决于网络配置.
例如,如果用户直接连接到位于gateway1.
example.
com处的SGDGateway,则为网络入口点键入gateway1.
example.
com:443.
如果用户通过位于lb.
example.
com处的负载平衡器连接到SGDGateway,则为网络入口点键入lb.
example.
com:443.
安全连接.
是否保护SGDGateway与阵列中的SGD服务器之间的连接安全.
默认情况下,SGDGateway使用安全连接.
要使用安全连接,阵列中的SGD服务器必须在安全模式下运行.
有关对阵列中的SGD服务器使用未加密连接的更多信息,请参见第C.
5节"使用未加密的SGD阵列连接".
注意以后可以通过使用gatewayconfigcreate命令更改这些设置.
请参见第2.
2.
1.
1节"如何配置SGDGateway的端口和连接".
安装本软件后,必须执行SGDGateway的其他配置.
有关所需执行的操作的详细信息,请参见第2章配置SGDGateway.
1.
4升级SGDGateway本节介绍如何升级SGDGateway.
升级SGDGateway时,将保留您的大部分初始配置,例如密钥库和路由代理配置文件.
升级后无需重新配置Gateway.
升级日志是在/opt/SUNWsgdg/proxy/var/log/upgrade_oldversion_newversion.
log中创建的,其中oldversion是旧版本的SGDGateway,newversion是已升级版本的SGDGateway.
升级时,SGDGateway安装程序会备份检测到的所有定制ApacheWeb服务器文件和反射服务配置文件.
此类文件列在升级日志中,必须手动对其进行升级.
您可以使用diff之类的实用程序来比较这些文件并显示所做的更改.
升级时不会保留对Gateway日志记录属性文件/opt/SUNWsgdg/proxy/etc/logging.
properties做出的更改.
1.
4.
1如何升级SGDGateway1.
确保没有任何用户会话和应用程序会话正通过SGDGateway运行.
2.
安装SGDGateway的新版本.
请参见第1.
3.
1节"如何安装SGDGateway".
运行SGDGateway安装程序时,将自动使用当前的配置设置.
45第2章配置SGDGateway本章介绍如何针对典型部署方案配置OracleSecureGlobalDesktopGateway(SGDGateway).
本章还介绍了如何启动和停止SGDGateway并说明了如何删除SGDGateway软件.
本章包括以下主题:第2.
1节"部署SGDGateway"第2.
2节"SGDGateway配置任务"第2.
3节"控制SGDGateway"第2.
4节"删除SGDGateway"2.
1部署SGDGateway本节介绍以下SGDGateway部署方案:第2.
1.
1节"基本部署"第2.
1.
2节"负载平衡部署"2.
1.
1基本部署本节介绍适用于SGDGateway基本部署的配置任务.
基本部署使用一个SGDGateway,如图2.
1"使用一个SGDGateway的基本部署"所示.
图2.
1使用一个SGDGateway的基本部署负载平衡部署6配置基本部署涉及配置表2.
1"用于SGDGateway基本部署的连接"中所显示的连接.
表2.
1用于SGDGateway基本部署的连接连接配置步骤客户端设备到SGDGateway1.
配置SGDGateway使用的端口和连接.
在安装SGDGateway时已配置这些设置.
如果要更改SGDGateway的配置,请参见第2.
2.
1.
1节"如何配置SGDGateway的端口和连接".
2.
在SGDGateway上,安装用于客户端连接的安全套接字层(SecureSocketsLayer,SSL)证书.
请参见第2.
2.
1.
2节"如何将用于客户端连接的SSL证书安装到客户端密钥库中".
3.
(可选)针对平板电脑设备配置SGDGateway连接.
请参见第2.
2.
1.
3节"如何在使用不可信证书的情况下针对平板电脑设备配置SGDGateway连接".
SGDGateway到SGD服务器1.
为阵列启用SGD安全服务.
SGD服务器必须在安全模式下运行.
绝对不要启用防火墙转发.
在标准安装中,SGD服务器将自动配置为使用安全连接.
如果需要有关如何保护SGD服务器安全的信息,请参见SecureConnectionstoSGDServers.
2.
在SGDGateway上,安装SGD服务器的安全证书.
使用gatewayserver命令将阵列中SGD服务器的CA证书和SSL证书导入到SGDGateway密钥库中.
请参见第2.
2.
2.
1节"如何安装SGD服务器证书".
3.
将阵列中的SGD服务器设置为使用SGDGateway.
在SGD阵列上安装SGDGateway证书,并使用tarantellagatewayadd命令将SGDGateway注册到SGD阵列中.
请参见第2.
2.
2.
2节"如何在SGD阵列上安装SGDGateway证书".
4.
配置哪些SGDClient连接可以使用SGDGateway.
请参见第2.
2.
2.
3节"如何配置SGDClient连接".
2.
1.
2负载平衡部署本节介绍适用于SGDGateway负载平衡部署的配置任务.
负载平衡部署使用多个SGDGateway和一个负载平衡器作为网络入口点,如图2.
2"使用多个SGDGateway和一个负载平衡器的网络部署"所示.
负载平衡部署7图2.
2使用多个SGDGateway和一个负载平衡器的网络部署配置负载平衡部署涉及配置表2.
2"用于SGDGateway负载平衡部署的连接"中所显示的连接.
表2.
2用于SGDGateway负载平衡部署的连接连接配置任务客户端设备到负载平衡器1.
启用来自客户端设备的传入连接.
通常,此操作使用TCP端口443.
有关如何执行此操作的详细信息,请参见所用负载平衡器的文档.
2.
(可选)在负载平衡器上,安装SGDGateway用于客户端连接的SSL证书.
有关如何执行此操作的详细信息,请参见所用负载平衡器的文档.
负载平衡器到SGDGateway1.
配置负载平衡器以将连接转发给SGDGateway.
有关如何执行此操作的详细信息,请参见所用负载平衡器的文档.
SGDGateway配置任务8连接配置任务2.
配置SGDGateway使用的端口和连接.
将网络入口点设置为负载平衡器的地址.
在安装SGDGateway时已配置这些设置.
如果要更改SGDGateway的配置,请参见第2.
2.
1.
1节"如何配置SGDGateway的端口和连接".
3.
在每个SGDGateway上,安装用于客户端连接的SSL证书.
请参见第2.
2.
1.
2节"如何将用于客户端连接的SSL证书安装到客户端密钥库中".
4.
(可选)针对平板电脑设备配置每个SGDGateway的连接.
请参见第2.
2.
1.
3节"如何在使用不可信证书的情况下针对平板电脑设备配置SGDGateway连接".
SGDGateway到SGD服务器1.
为SGD阵列启用SGD安全服务.
SGD服务器必须在安全模式下运行.
绝对不要启用防火墙转发.
在标准安装中,SGD服务器将自动配置为使用安全连接.
如果需要有关如何保护SGD服务器安全的信息,请参见SecureConnectionstoSGDServers.
2.
在SGDGateway上,安装SGD服务器的安全证书.
使用gatewayserver命令将阵列中SGD服务器的CA证书和SSL证书导入到SGDGateway密钥库中.
请参见第2.
2.
2.
1节"如何安装SGD服务器证书".
3.
将阵列中的SGD服务器设置为使用SGDGateway.
在SGD阵列上安装SGDGateway证书,并使用tarantellagatewayadd命令将SGDGateway注册到SGD阵列中.
请参见第2.
2.
2.
2节"如何在SGD阵列上安装SGDGateway证书".
4.
配置哪些SGDClient连接可以使用SGDGateway.
请参见第2.
2.
2.
3节"如何配置SGDClient连接".
2.
2SGDGateway配置任务本节说明如何配置SGDGateway使用的连接.
介绍了以下配置任务:第2.
2.
1节"客户端设备到SGDGateway的连接"第2.
2.
2节"SGDGateway到SGD服务器的连接"第2.
2.
3节"客户端设备到负载平衡器的连接"第2.
2.
4节"负载平衡器到SGDGateway的连接"2.
2.
1客户端设备到SGDGateway的连接配置客户端设备与SGDGateway之间的连接涉及以下配置任务:1.
(可选)配置SGDGateway使用的端口和连接.
客户端设备到SGDGateway的连接9在安装SGDGateway时配置了这些设置.
要更改这些设置,请参见第2.
2.
1.
1节"如何配置SGDGateway的端口和连接".
2.
(可选)在SGDGateway上,安装用于客户端连接的SSL证书.
请参见第2.
2.
1.
2节"如何将用于客户端连接的SSL证书安装到客户端密钥库中".
3.
(可选)针对平板电脑设备配置SGDGateway连接.
仅当Gateway使用不可信证书时,才需要执行此任务.
请参见第2.
2.
1.
3节"如何在使用不可信证书的情况下针对平板电脑设备配置SGDGateway连接".
2.
2.
1.
1如何配置SGDGateway的端口和连接仅当要更改安装SGDGateway期间进行的设置时才需要执行此过程.
1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
运行gatewayconfigcreate命令.
#/opt/SUNWsgdg/bin/gatewayconfigcreate回答屏幕上的问题以配置以下各项:SGDGateway端口设置.
SGDGateway用于传入连接的接口和端口.
网络入口点.
客户端设备用于连接到SGDGateway的IP地址或DNS名称和端口.
它并非总是与SGDGateway的地址相同.
可以是负载平衡器的地址,也可以是其他外部设备的地址,具体取决于网络配置.

安全连接.
是否保护SGDGateway与阵列中的SGD服务器之间的连接安全.
要使用安全连接,阵列中的SGD服务器必须在安全模式下运行.
3.
保存连接和端口设置.
SGDGateway将使用输入的设置进行配置.
2.
2.
1.
2如何将用于客户端连接的SSL证书安装到客户端密钥库中SGDGateway用于客户端连接的SSL证书称为SGDGatewaySSL证书.
SSL证书存储在客户端密钥库/opt/SUNWsgdg/proxy/etc/keystore.
client中.
默认情况下,SGDGateway使用自签名SGDGatewaySSL证书进行客户端连接,但是,您可以将自签名SSL证书替换为证书颁发结构(CertificateAuthority,CA)签名的证书.
以下过程假定您拥有CA签名的SSL证书.
安装的私钥必须采用保密性增强的电子邮件(PrivacyEnhancedMail,PEM)格式.
1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
将SSL证书和相应的私钥复制到SGDGateway主机.
3.
将SSL证书和私钥导入到客户端密钥库中.
按如下方式使用gatewaysslkeyimport命令:#/opt/SUNWsgdg/bin/gatewaysslkeyimport\--keyfiletemp.
key\--keyalgRSA\--certfileexample.
com.
pem此时,证书文件example.
com.
pem和RSA编码的相应私钥temp.
key将导入到客户端密钥库中.
客户端设备到SGDGateway的连接10客户端密钥库中的现有自签名SSL证书将被覆盖.
4.
(可选)重新启动SGDGateway.
小心此步骤只能在不执行SGDGateway初始配置时执行.
如果在初始配置阶段重新启动SGDGateway,则会显示一条错误消息,因为SGDGateway的初始配置尚未完成.
如果要替换已配置且正在运行的SGDGateway上的SSL证书,请重新启动SGDGateway.
注意重新启动SGDGateway将断开正通过SGDGateway运行的所有用户会话和应用程序会话的连接.
在SGDGateway主机上,运行以下命令:#/opt/SUNWsgdg/bin/gatewayrestart2.
2.
1.
3如何在使用不可信证书的情况下针对平板电脑设备配置SGDGateway连接注意仅当您的用户从平板电脑连接到SGDGateway且SGDGateway使用不可信SSL证书(例如自签名证书)时,您才需要执行此过程.
如果Gateway使用由定制CA签名的SSL证书,则您的用户必须在平板电脑设备上安装该CA证书.
请参见《OracleSecureGlobalDesktop管理指南》中的UsingCertificatesSignedbyaCustomCA.
1.
导出SGDGatewaySSL证书.
对每个SGDGateway重复执行以下步骤.
a.
在SGDGateway主机上,以超级用户(root)身份登录.
b.
重新生成SGDGatewaySSL证书.
i.
生成与平板电脑客户端设备兼容的自签名证书.
使用为此任务提供的脚本:#/opt/SUNWsgdg/bin/scripts/regenerate_sslcert.
sh--ca客户端密钥库中的现有SGDGatewaySSL证书将被覆盖.
ii.
重新启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewayrestartc.
从客户端密钥库导出SGDGatewaySSL证书.
例如:#/opt/SUNWsgdg/bin/gatewaysslcertexport--certfilegw1-example-com.
pem导出证书时,最佳做法是重命名证书文件,以便标识该文件所源自的SGDGateway.
2.
将SGDGatewaySSL证书复制到SGD阵列中.
a.
以超级用户(root)身份登录到主SGD主机.
b.
将证书文件复制到主SGD主机上的/opt/tarantella/var/tsp/certs/gateway目录中.
c.
检查文件权限和所有权是否正确.
例如:#chmod600gw1-example-com.
pemSGDGateway到SGD服务器的连接11#chownroot:ttaservgw1-example-com.
pem3.
更新用于SGDGateway的安全配置.
使用为此任务提供的脚本:#/opt/tarantella/bin/scripts/mobile_profile_create.
sh将在/opt/tarantella/webserver/apache/apache-version/htdocs/certs/sgdg.
mobileconfig处创建配置文件,并以SGDGateway所用SSL证书的详细信息对其进行更新.
还会生成相应的MD5校验和文件.
将处理GatewaySSL证书并在/opt/tarantella/webserver/apache/apache-version/htdocs/certs/gateway目录中生成对应的.
crt证书文件.
列出了证书的android_certs.
html文件将更新.
4.
将更新后的安全配置文件复制到阵列中的其他SGD服务器.
更新后的安全配置文件位于certs/目录中.
对阵列中的每个服务器重复执行以下步骤.
a.
将/opt/tarantella/webserver/apache/apache-version/htdocs/certs目录从主服务器复制到SGDWeb服务器.
务必保留文件权限和所有权.
例如:#cp-prcerts//opt/tarantella/webserver/apache/apache-version/htdocs/有关使用不可信证书时所需的安全配置的更多详细信息,请参见《OracleSecureGlobalDesktop管理指南》中的SecureConnectionstoTabletDevicesUsingUntrustedCertificates.
2.
2.
2SGDGateway到SGD服务器的连接SGDGateway与阵列中的SGD服务器之间的连接使用证书进行相互授权.
配置这些连接涉及以下配置任务:1.
在SGDGateway上安装SGD服务器证书.
请参见第2.
2.
2.
1节"如何安装SGD服务器证书".
2.
在SGD阵列上安装SGDGateway证书.
请参见第2.
2.
2.
2节"如何在SGD阵列上安装SGDGateway证书".
3.
配置SGDGateway的SGDClient连接.
请参见第2.
2.
2.
3节"如何配置SGDClient连接".
2.
2.
2.
1如何安装SGD服务器证书要执行此过程,阵列中的SGD服务器必须在安全模式下运行.
在标准安装中,SGD服务器将自动配置为使用安全连接.
如果需要有关如何在SGD服务器上启用安全服务的更多信息,请参见《OracleSecureGlobalDesktop管理指南》第1章中的"SecureConnectionstoSGDServers".
对阵列中的每个SGD服务器重复以下过程.
1.
在SGD主机上,以超级用户(root)身份登录.
2.
将CA证书从SGD服务器复制到SGDGateway密钥库目录.
SGD服务器的CA证书位于SGD主机的/opt/tarantella/var/info/certs/PeerCAcert.
pem中.
注意此证书与SGD服务器用于阵列内安全通信的CA证书相同.
SGDGateway到SGD服务器的连接12SGDGateway密钥库目录为/opt/SUNWsgdg/proxy/etc.
复制CA证书时,最佳做法是重命名证书文件,以便您可以标识该文件所包含的内容及其所源自的SGD服务器.
3.
将SSL证书从SGD服务器复制到SGDGateway密钥库目录.
在安全模式下运行的SGD服务器的SSL证书位于SGD主机的/opt/tarantella/var/tsp/cert.
pem中.
SGDGateway密钥库目录为/opt/SUNWsgdg/proxy/etc.
复制SSL证书时,最佳做法是重命名证书文件,以便您可以标识该文件所包含的内容及其所源自的SGD服务器.
4.
在SGDGateway主机上,以超级用户(root)身份登录.
5.
将证书导入到SGDGateway密钥库中.
#/opt/SUNWsgdg/bin/gatewayserveradd--serversgd-server1\--certfile/opt/SUNWsgdg/proxy/etc/PeerCAcert.
pem--urlhttps://sgd1.
example.
com\--ssl-certfile/opt/SUNWsgdg/proxy/etc/cert.
pem--server选项定义在密钥库中存储证书时使用的别名.
在此示例中,使用sgd-server1别名存储CA证书,使用sgd-server1-ssl别名存储SSL证书.
https://sgd1.
example.
com是SGDWeb服务器的URL.
6.
重新启动SGDGateway.
注意重新启动SGDGateway将断开正通过SGDGateway运行的所有用户会话和应用程序会话的连接.
在SGDGateway主机上,运行以下命令:#/opt/SUNWsgdg/bin/gatewayrestart2.
2.
2.
2如何在SGD阵列上安装SGDGateway证书对每个SGDGateway重复以下过程.
1.
导出SGDGateway证书.
a.
在SGDGateway主机上,以超级用户(root)身份登录.
b.
从SGDGateway密钥库导出SGDGateway证书.
按如下方式使用gatewaycertexport命令:#/opt/SUNWsgdg/bin/gatewaycertexport--certfilegateway1.
pem证书将导出至gateway1.
pem文件中.
导出证书时,最佳做法是为证书文件指定合适的名称,以便您可以标识其所源自的SGDGateway.
c.
将证书复制到阵列中主SGD服务器的/opt/tarantella/var/tsp目录中.
d.
更改Gateway证书的文件权限和所有权.
#chmod600/opt/tarantella/var/tsp/gateway1.
pem#chownttasys:ttaserv/opt/tarantella/var/tsp/gateway1.
pem2.
将SGDGateway注册到SGD阵列中.
客户端设备到负载平衡器的连接13a.
在主SGD服务器上,以超级用户(root)身份登录.
b.
导入SGDGateway证书.
#tarantellagatewayadd--namesgd-gateway1\--certfile/opt/tarantella/var/tsp/gateway1.
pem其中,sgd-gateway1是SGD用于标识SGDGateway的名称,gateway1.
pem是SGDGateway证书的文件名.
SGDGateway证书将添加到SGD服务器上的网关密钥库(位于/opt/tarantella/var/info/gatewaycerts).
要同时注册多个SGDGateway,请使用带--file选项的tarantellagatewayadd命令.
有关更多详细信息,请参见第B.
27节"tarantellagateway命令".
使用tarantellagatewayadd所做的配置更改将复制到阵列中的其他SGD服务器.
2.
2.
2.
3如何配置SGDClient连接1.
配置使用SGDGateway的SGDClient连接.
在主SGD服务器上,设置--security-gateway全局属性以基于SGDClient的IP地址或DNS名称定义哪些SGDClient可以使用SGDGateway.
要指定所有SGDClient连接都通过一个SGDGateway(gateway1.
example.
com)的TCP端口443进行路由,请使用以下命令:$tarantellaconfigedit--security-gateway\"*:sgdg:gateway1.
example.
com:443"要指定所有SGDClient连接都通过一个外部负载平衡器(lb.
example.
com)的TCP端口443进行路由,请使用以下命令:$tarantellaconfigedit--security-gateway\"*:sgdg:lb.
example.
com:443"注意对--security-gateway属性的更改会影响阵列中的所有SGD服务器.
更改仅应用于新用户会话.
有关如何使用--security-gateway属性定义多个SGDClient连接过滤器的更多详细信息,请参见第B.
31节"--security-gateway属性".
2.
2.
3客户端设备到负载平衡器的连接配置客户端设备与外部负载平衡器之间的连接涉及以下配置任务:1.
配置负载平衡器以接受来自客户端设备的连接.
有关如何执行此操作的详细信息,请参见所用负载平衡器的文档.
2.
(可选)将SGDGateway的SSL证书安装到负载平衡器上.
有关如何执行此操作的详细信息,请参见所用负载平衡器的文档.
2.
2.
4负载平衡器到SGDGateway的连接配置外部负载平衡器与SGDGateway之间的连接涉及以下配置任务:1.
配置SGDGateway使用的端口和连接.
控制SGDGateway14请参见第2.
2.
1.
1节"如何配置SGDGateway的端口和连接".
2.
(可选)在SGDGateway上,安装用于传入客户端连接的SSL证书.
请参见第2.
2.
1.
2节"如何将用于客户端连接的SSL证书安装到客户端密钥库中".
2.
3控制SGDGateway本节介绍如何控制SGDGateway.
介绍了以下任务:启动SGDGateway停止SGDGateway重新启动SGDGateway2.
3.
1启动SGDGateway要启动SGDGateway,请使用以下命令:#/opt/SUNWsgdg/bin/gatewaystart2.
3.
2停止SGDGateway小心停止SGDGateway将断开正通过SGDGateway运行的所有用户会话和应用程序会话的连接.
这意味着如果意外停止SGDGateway,应用程序数据可能会丢失.
要停止SGDGateway,请使用以下命令:#/opt/SUNWsgdg/bin/gatewaystop在使用gatewaystop命令时,会显示一条警告消息,提示您确认要停止SGDGateway.
如果不希望显示此消息,请使用带--force选项的gatewaystop命令.
注意如果停止SGDGateway,网络外部的用户将无法使用SGDGateway连接到SGD.
使用--security-gateway属性启用了不通过SGDGateway直接访问SGD的客户端设备仍可以访问SGD.
请参见第B.
31节"--security-gateway属性".
2.
3.
3重新启动SGDGateway小心重新启动SGDGateway将断开正通过SGDGateway运行的所有用户会话和应用程序会话的连接.
这意味着如果意外重新启动SGDGateway,应用程序数据可能会丢失.
要重新启动SGDGateway,请使用以下命令:#/opt/SUNWsgdg/bin/gatewayrestart在使用gatewayrestart命令时,会显示一条警告消息,提示您确认要停止SGDGateway.
如果不希望显示此消息,请使用带--force选项的gatewayrestart命令.
2.
4删除SGDGateway要删除SGDGateway,请删除SGDGateway主机上安装的软件.
如何删除SGDGateway152.
4.
1如何删除SGDGateway1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
更改SGD阵列的SGDClient路由配置.
a.
在主SGD服务器上以超级用户(root)身份登录.
b.
编辑SGD阵列的--security-gateway属性.
对于使用一个SGDGateway的基本部署,请运行以下命令:#tarantellaconfigedit--security-gateway""注意对于使用多个SGDGateway和一个外部负载平衡器的负载平衡部署,无需编辑--securitygateway属性.
3.
卸载SGDGateway.
运行以下命令:#/opt/SUNWsgdg/bin/gatewayuninstall将显示一条警告消息,提示您确认要停止SGDGateway.
小心gatewayuninstall命令是用于删除SGDGateway的唯一受支持的方法.
请不要直接使用pkgrm或rpm命令来删除SGDGateway.
4.
(可选)从SGD阵列的注册SGDGateway列表中删除SGDGateway.
a.
显示SGD阵列的注册SGDGateway.
#tarantellagatewaylistInstalledgateway:gateway1.
example.
comIssuer:CN=gateway1.
example.
com,OU=Marketing,O=Example,L=Boston,ST=Massachusetts,C=USSerialNumber:1208509056Subject:CN=gateway2.
example.
com,OU=Marketing,O=Example,L=Boston,ST=Massachusetts,C=USValidfromFriSep2609:57:36GMT2008toThuDec2509:57:36GMT2008b.
从SGD阵列的注册SGDGateway列表中删除SGDGateway.
#tarantellagatewayremove--namegateway1.
example.
com1617附录ASGDGateway体系结构概述本章介绍OracleSecureGlobalDesktopGateway(SGDGateway)的体系结构及其主要组件.
本章包括以下主题:第A.
1节"SGDGateway体系结构"第A.
2节"SGDGateway的组件"A.
1SGDGateway体系结构本节探讨SGDGateway的体系结构,并介绍有关通过SGDGateway访问SGD时建立的连接.
图A.
1"SGDGateway体系结构"显示了SGDGateway的体系结构.
SGDGateway体系结构18图A.
1SGDGateway体系结构以下步骤介绍了通过SGDGateway访问SGD时建立的连接.
这些步骤包含使用浏览器与SGD建立初始连接、登录SGD,直至启动应用程序.
注意以下步骤介绍了从桌面计算机访问SGDGateway时建立的连接.
SGDGateway体系结构19如果您使用的是平板电脑工作区,则可能会有细微的差别.
不会在平板电脑设备上下载并安装SGDClient.
而是使用一个HTML5Web页来管理到SGDGateway的连接.
1.
客户端设备上的浏览器在TCP端口443上与SGDGateway建立安全套接字层上的HTTP(HTTPoverSecureSocketsLayer,HTTPS)连接.
对于基本部署,用户可以通过转至SGDGateway的URL来访问SGD.
TCP端口443是SGDGateway的默认端口.
SGDGateway使用的端口是使用路由代理配置文件gateway.
xml定义的.
此文件在安装SGDGateway期间自动创建,并在使用gatewayconfig命令更改SGDGateway配置时进行更新.
SGDGateway向客户端设备上的浏览器提供了一个SSL证书.
SGDGateway使用的密钥库的位置和密码是在路由代理配置文件gateway.
xml中定义的.
2.
路由代理识别HTTPS连接,解密数据流,并将HTTP数据转发到Apache反向代理.
HTTP数据是通过TCP端口8081在内部发送的.
Apache反向代理的配置是由httpd.
conf文件定义的.
该文件和相关反向代理配置文件在安装SGDGateway期间自动创建.
该文件在使用gatewayconfig命令更改SGDGateway配置时进行更新.
3.
反向代理使用HTTP负载平衡在阵列中选择SGDWeb服务器.
使用HTTPS在TCP端口443上建立反向代理和SGDWeb服务器之间的连接,该连接安全可靠.
Apache反向代理在浏览器中设置负载平衡cookie.
浏览器的所有后续HTTP请求都将使用同一个SGDWeb服务器.
4.
来自SGDWeb服务器的HTML将被路由到客户端设备上的浏览器.
该HTML作为HTTPS数据通过在SGDGateway的TCP端口443上建立的连接发送.
SGDGateway将HTTPS数据转发到浏览器.
5.
用户登录到SGD.
SGD服务器对用户进行验证并启动新的用户会话.
在客户端设备上下载、安装并启动SGDClient.
在发送到浏览器的HTML中包含一个路由令牌.
该路由令牌包含用于管理用户会话的SGD服务器的地址.
此信息用于将自适应Internet协议(AdaptiveInternetProtocol,AIP)数据路由到正确的SGD服务器.
使用SGD服务器CA证书的私钥对该路由令牌签名,然后使用SGD服务器上的SGDGateway证书对其进行加密.
该路由令牌传送到SGDClient.
到客户端设备的连接使用HTTPS.
6.
SGDClient在TCP端口443上与SGDGateway建立连接.
SGDClient和SGDGateway之间的数据连接使用安全套接字层(SecureSocketsLayer,SSL)上的AIP.
为此连接提供SGDGateway的SSL证书.
路由代理识别通过SSL传入的AIP数据.
SSL数据流被解密,并从AIP数据流提取路由令牌.
使用SGDGateway私钥解密路由令牌,然后使用SGD服务器的CA证书进行验证.
SGDGateway的组件20SGDGateway私钥和SGD服务器的CA证书存储在SGDGateway密钥库keystore中.
对路由令牌上的时间戳进行检查,以确保路由令牌有效.
AIP数据流使用SSL进行重新加密.
7.
SSL上的AIP数据通过路由代理路由到路由令牌指示的SGD服务器.
SSL上的AIP数据连接使用TCP端口5307.
该路由令牌不包含在AIP数据流中.
8.
用户在SGD工作区中启动应用程序.
该应用程序启动请求通过HTTPS发送到SGDGateway.
路由代理识别并解密HTTPS数据,并将HTTP通信转发到Apache反向代理.
该反向代理检测负载平衡cookie,并使用该cookie指示的SGDWeb服务器.
SGD应用程序会话负载平衡选择一台SGD服务器来管理应用程序会话.
在SGD服务器上创建一个新的路由令牌.
该路由令牌用于将AIP数据路由到选择用于管理应用程序会话的SGD服务器.
SGD服务器将路由令牌发送到SGDClient.
该路由令牌包含在现有AIP数据流中.
9.
SGDClient在TCP端口443上与SGDGateway建立连接.
为此连接提供SGDGateway的SSL证书.
路由代理识别传入的SSL上的AIP数据.
对路由令牌进行解密、检验和验证.
SSL上的AIP数据通过路由代理路由到路由令牌指示的SGD服务器.
该路由令牌不包含在AIP数据流中.
10.
SGD服务器管理应用程序会话.
该应用程序在位于局域网(LocalAreaNetwork,LAN)中的应用程序服务器上运行.
A.
2SGDGateway的组件SGDGateway包含以下组件:路由代理.
一种基于Java技术的应用程序,用于将AIP数据连接路由到SGD服务器.
路由代理的主要组件有:路由令牌-请参见第A.
2.
1节"关于路由令牌"密钥库-请参见第A.
2.
2节"SGDGateway使用的密钥库"路由代理配置文件-请参见第A.
2.
3节"路由代理配置文件"反向代理.
一种ApacheWeb服务器,配置为在反向代理模式下工作.
反向代理还执行HTTP连接的负载平衡.
反向代理的主要组件有:用于ApacheWeb服务器的配置文件-请参见第A.
2.
4节"ApacheWeb服务器配置文件"用于反向代理和HTTP负载平衡的Apache模块-请参见第A.
2.
5节"SGDGateway使用的Apache模块"关于路由令牌21A.
2.
1关于路由令牌SGDGateway使用路由令牌来管理AIP连接.
路由令牌是经过签名的加密消息,用于标识路由的源SGD服务器和目标SGD服务器.
该路由令牌包含用于限制令牌生命周期的时间戳.
传出的路由令牌:使用SGD服务器CA证书的私钥在SGD服务器上签名.
使用SGDGateway证书在SGD服务器上加密.
发送到客户端设备上的SGDClient.
传入路由令牌:使用SGDGateway私钥在SGDGateway上解密.
使用源SGD服务器的CA证书在SGDGateway上进行验证.
在SGDGateway上被丢弃.
提供路由令牌的连接将路由到目标SGD服务器.
A.
2.
2SGDGateway使用的密钥库SGDGateway使用私钥和证书来对路由令牌进行数字签名和验证,保护与阵列中的SGD服务器的连接安全,保护与SGDGateway的连接安全,并对反射服务访问进行授权.
SGDGateway使用的证书和私钥存储在/opt/SUNWsgdg/proxy/etc目录下的密钥库中.
该目录包含以下密钥库:SGDGateway密钥库.
SGDGateway密钥库keystore包含SGDGateway证书和私钥、阵列中SGD服务器的CA证书以及用于与阵列中SGD服务器建立安全连接的SGD服务器SSL证书.
要添加、删除和列出SGDGateway密钥库中的条目,请使用gateway命令.
客户端密钥库.
客户端密钥库keystore.
client包含一个SGDGatewaySSL证书和私钥,用于保护客户端设备和SGDGateway之间的连接安全.
默认情况下,该密钥库包含自签名证书.
您可以将该证书替换为由证书颁发机构(CertificateAuthority,CA)签名的证书.
反射服务密钥库.
反射服务密钥库keystore.
reflection包含一个证书和私钥,用于在SGDGateway上对反射服务访问进行授权.
默认情况下,该密钥库包含自签名证书和私钥.
如果在安装SGDGateway后运行gatewaysetup命令,将自动创建密钥库.
注意所有密钥库都使用/opt/SUNWsgdg/etc/password文件中定义的同一个密码.
该密码是首次创建密钥库时自动创建的随机密码.
该密码文件只能由超级用户(root)读取.
A.
2.
3路由代理配置文件该路由代理配置文件为/opt/SUNWsgdg/etc/gateway.
xml.
这是一个XML文件,用于根据数据协议类型配置路由.
该文件还配置路由和SSL协议所需的密钥库位置和密码.
该路由代理配置文件在安装SGDGateway时自动创建,并在使用gatewayconfig命令更改SGDGateway的配置时进行更新.
小心使用gatewayconfig命令来配置Gateway.
如有可能,避免手动编辑gateway.
xml文件.
gateway.
xml文件中的错误配置可能导致SGDGateway停止运行.
ApacheWeb服务器配置文件22默认路由代理配置文件使用/opt/SUNWsgdg/etc/password文件中的密码来访问SGDGateway使用的密钥库.
如果您不希望将该密码存储在磁盘上,请记录密码文件中的条目.
删除该密码文件,并删除gateway.
xml文件中所有元素的password条目.
当您下次启动SGDGateway时,会提示您输入密钥库密码.
要更改SGDGateway使用的密钥库密码,请使用带-storepasswd选项的keytool命令.
例如,要更改keystore.
client密钥库的密码,请运行以下命令:#/opt/SUNWsgdg/java/default/bin/keytool-storepasswd\-keystore/opt/SUNWsgdg/proxy/etc/keystore.
client有关如何使用keytool应用程序的详细信息,请参见JDKToolsandUtilities(JDK工具和实用程序)文档.
注意/opt/SUNWsgdg/etc目录还包含其他.
xml和.
template文件.
gatewayconfig命令在内部使用这些文件来更新gateway.
xml文件.
请不要手动编辑这些文件.
A.
2.
4ApacheWeb服务器配置文件配置用于SGDGateway的ApacheWeb服务器的配置文件位于/opt/SUNWsgdg/httpd/apache-version/conf目录中.
此目录中的配置文件用于为ApacheWeb服务器配置反向代理操作和负载平衡.
A.
2.
4.
1配置反向代理和负载平衡用于配置反向代理操作和负载平衡的文件位于extra/gateway子目录中.
这些文件由主要httpd.
conf文件中的以下Include指令启用:#SGDReverseProxy/LoadBalancesettingsIncludeconf/extra/gateway/httpd-gateway.
confhttpd-gateway.
conf文件为ApacheWeb服务器配置反向代理和负载平衡.
负载平衡组的成员是使用httpd-gateway.
conf文件中的Include指令定义的,如下所示:Includeconf/extra/gateway/servers/*.
confextra/gateway/servers目录包含负载平衡组中每个SGDWeb服务器的配置文件.
配置文件命名为server-name.
conf,其中server-name是gatewayserveradd命令中使用的服务器名称.
有关此命令的更多详细信息,请参见第B.
12节"gatewayserveradd".
SGDGateway使用粘性会话HTTP负载平衡.
这意味着Apache反向代理在客户端浏览器中设置cookie,以确保浏览器始终返回负载平衡选择的SGDWeb服务器.
cookie在用户会话结束时过期.
粘性会话cookie由httpd-gateway.
conf文件中的HeaderaddSet-Cookie指令启用,如下所示:HeaderaddSet-Cookie"BALANCEID=balanceworker.
%{BALANCER_WORKER_ROUTE}e;path=/"\env=BALANCER_ROUTE_CHANGED其中BALANCEID是cookie的名称,BALANCER_WORKER_ROUTE和BALANCER_ROUTE_CHANGED是Apachemod_proxy_balancer模块导出的环境变量.
有关这些环境变量的更多信息,请参见Apachemod_proxy_balancer文档.
A.
2.
5SGDGateway使用的Apache模块随SGDGateway提供的ApacheWeb服务器使用标准Apache模块进行反向代理和负载平衡.
这些模块是作为动态共享对象(DynamicSharedObject,DSO)模块安装的.
这些模块由httpd.
confApache配置文件(位于/opt/SUNWsgdg/httpd/apache-version/conf/httpd.
conf)中的LoadModule指令启用.
23附录B命令行参考本章介绍如何从命令行管理、控制和更改OracleSecureGlobalDesktopGateway(SGDGateway)的配置.
为许多任务提供了执行命令,例如:设置密钥库和证书、配置SGDGateway使用的端口以及为阵列中的SGD服务器配置负载平衡.
本章包括以下主题:第B.
1节"gateway命令"第B.
27节"tarantellagateway命令"第B.
31节"--security-gateway属性"B.
1gateway命令可使用gateway命令来配置和控制SGDGateway.
注意gateway命令的完整路径为/opt/SUNWsgdg/bin/gateway.
语法gatewaystart|stop|restart|config|server|status|setup|version|sslcert|sslkey|cert|key|setup|uninstall描述下表显示了可用的gateway命令.
命令描述更多信息gatewaystart启动SGDGateway第B.
22节"gatewaystart"gatewaystop停止SGDGateway第B.
24节"gatewaystop"gatewayrestart停止然后重新启动SGDGateway第B.
10节"gatewayrestart"gatewayconfig配置SGDGateway,然后更新Apache反向代理配置文件第B.
3节"gatewayconfig"gatewayserver为SGD阵列安装SGD服务器安全证书并配置负载平衡第B.
11节"gatewayserver"gatewaystatus显示SGDGateway的当前状态第B.
23节"gatewaystatus"gatewayversion显示SGDGateway的版本号第B.
26节"gatewayversion"gatewaysslcert导出并输出客户端密钥库中的安全套接字层(SecureSocketsLayer,SSL)证书第B.
16节"gatewaysslcert"gatewaysslkey管理客户端密钥库中的私钥和证书第B.
19节"gatewaysslkey"gatewaycertexport从SGDGateway密钥库导出SGDGateway证书第B.
2节"gatewaycertexport"gatewaykeyimport将私钥和证书导入SGDGateway密钥库第B.
9节"gatewaykeyimport"gatewaysetup运行SGDGateway安装程序第B.
15节"gatewaysetup"gatewayuninstall卸载SGDGateway软件第B.
25节"gatewayuninstall"注意所有gateway命令都包含--help选项.
您可以使用此选项来显示相关命令的帮助信息.
示例24示例以下示例启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewaystart以下示例表示未授权SGD服务器server.
example.
com使用SGDGateway.
#/opt/SUNWsgdg/bin/gatewayserverremove--serverserver.
example.
comB.
2gatewaycertexport从SGDGateway密钥库导出SGDGateway证书.
语法gatewaycertexport--certfilefile-name描述从位于/opt/SUNWsgdg/proxy/etc/keystore的SGDGateway密钥库导出SGDGateway证书.
该证书写入由--certfile选项指定的文件.
为访问SGDGateway密钥库,此命令使用/opt/SUNWsgdg/etc/password中的密码.
如果未提供此文件,则该命令会提示输入密码.
示例下列示例将SGDGateway证书从SGDGateway密钥库导出到文件gateway1.
pem中.
#/opt/SUNWsgdg/bin/gatewaycertexport--certfilegateway1.
pemB.
3gatewayconfig配置SGDGateway.
gatewayconfig命令为SGDGateway配置安全连接、端口和反向代理服务器设置.
语法gatewayconfigcreate|show描述下表显示了此命令的可用子命令.
子命令描述更多信息create创建SGDGateway的新配置第B.
4节"gatewayconfigcreate"list列出SGDGateway的当前配置第B.
8节"gatewayconfiglist"edit编辑SGDGateway的当前配置第B.
6节"gatewayconfigedit"enable启用SGDGateway服务第B.
7节"gatewayconfigenable"disable禁用SGDGateway服务第B.
5节"gatewayconfigdisable"示例以下示例列出SGDGateway的当前配置.
gatewayconfigcreate25#/opt/SUNWsgdg/bin/gatewayconfiglistB.
4gatewayconfigcreate为SGDGateway创建新配置来覆盖当前配置.
语法gatewayconfigcreate{[--interfaceinterface:port]entry-pointip-address:port]outplaintext|ssl]filefile描述下表显示了此命令的可用选项.
选项描述--interfaceSGDGateway侦听传入代理连接所使用的接口和端口.
默认为所有接口上的TCP端口443.
--entry-point网络的入口点.
这是客户端用于连接到SGDGateway的IP地址和端口.
您可以指定域名系统(DomainNameSystem,DNS)地址来代替IP地址.
--out从SGDGateway到阵列中的SGD服务器的传出通信格式.
如果您要使用安全连接,请选择ssl.
--file指定包含配置设置的文件.
注意如果没有为gatewayconfigcreate命令指定选项,则将显示一系列联机提示,使您能够键入所需设置.
如果在gatewayconfigcreate中使用--file选项,则指定的文件必须与/opt/SUNWsgdg/etc/gatewayconfig.
xml文件格式相同.
此文件在SGDGateway的初始配置期间创建,如第2.
2.
1.
1节"如何配置SGDGateway的端口和连接"中所述.
示例以下示例将SGDGateway配置为在TCP端口443上侦听来自位于192.
168.
0.
1的网络入口点的连接.
SGDGateway和阵列中的SGD服务器之间使用安全连接.
#/opt/SUNWsgdg/bin/gatewayconfigcreate--interface*:443\--entry-point192.
168.
0.
1:443--outsslB.
5gatewayconfigdisable禁用一个或多个SGDGateway服务.
语法gatewayconfigdisable[--services-reflection]services-reflection-auth]routes-http-redirect]描述使用命令行选项来禁用特定的SGDGateway服务.
您必须至少指定一个命令行选项.
示例26注意使用此命令禁用服务后,您必须重新启动SGDGateway来停止该服务.
下表显示了此命令的可用选项.
选项描述--services-reflection禁用对SGDGateway反射服务进行未经验证的访问.
默认情况下,该服务处于禁用状态.
有关SGDGateway反射服务的更多详细信息,请参见第C.
10节"反射服务".
--services-reflection-auth禁用对SGDGateway反射服务进行经过验证的访问.
默认情况下,该服务处于禁用状态.
有关SGDGateway反射服务的更多详细信息,请参见第C.
10节"反射服务".
--routes-http-redirect禁用HTTP重定向服务.
默认情况下,该服务处于禁用状态.
示例以下示例禁用对SGDGateway反射服务进行经过验证的访问.
#/opt/SUNWsgdg/bin/gatewayconfigdisable--services-reflection-authB.
6gatewayconfigedit编辑SGDGateway的当前配置.
语法gatewayconfigedit[--bindingint:port]routes-http-maxconnum]routes-aip-maxconnum]routes-ws-maxconnum]routes-reverseproxy-redirectport]services-reflection-bindingint:port]services-reflection-auth-bindingint:port]描述这些命令行选项使您能够编辑特定的配置设置.
您必须至少指定一个命令行选项.

SGDGateway的当前配置存储在/opt/SUNWsgdg/etc/gatewayconfig.
xml文件中.
您必须重新启动SGDGateway来启用您执行的任何配置更改.
下表显示了此命令的可用选项.
选项描述--bindingSGDGateway侦听传入代理连接所使用的接口和端口.
默认为所有接口上的TCP端口443.
示例27选项描述--routes-http-maxconHTTP连接的最大数量.
默认值在安装时配置,并取决于SGDGateway上可用的内存资源.
请参见第C.
1节"调整SGDGateway".
--routes-aip-maxconAIP连接的最大数量.
默认值在安装时配置,并取决于SGDGateway上可用的内存资源.
请参见第C.
1节"调整SGDGateway".
--routes-ws-maxconWebsocket最大连接数.
Websocket连接用于SGDGateway与平板电脑设备之间的数据连接.
默认值在安装时配置,并取决于SGDGateway上可用的内存资源.
请参见第C.
1节"调整SGDGateway".
--routes-reverseproxy-redirectHTTP重定向端口.
默认为TCP端口8080.
--services-reflection-binding用于对SGDGateway反射服务进行未经验证的访问的接口和端口.
默认为本地主机回送接口上的TCP端口81.
--services-reflection-auth-binding用于对SGDGateway反射服务进行经过验证的访问的接口和端口.
默认为所有接口上的TCP端口82.
示例以下示例更改SGDGateway的HTTP和AIP连接的最大数量.
#/opt/SUNWsgdg/bin/gatewayconfigedit--routes-http-maxcon200#/opt/SUNWsgdg/bin/gatewayconfigedit--routes-aip-maxcon3000B.
7gatewayconfigenable启用一个或多个SGDGateway服务.
语法gatewayconfigenable[--services-reflection]services-reflection-auth]routes-http-redirect]描述使用命令行选项来启用特定的SGDGateway服务.
您必须至少指定一个命令行选项.
注意使用此命令启用服务后,您必须重新启动SGDGateway来启动该服务.
下表显示了此命令的可用选项.
选项描述--services-reflection启用对SGDGateway反射服务进行未经验证的访问.
默认情况下,该服务处于禁用状态.
有关SGDGateway反射服务的更多详细信息,请参见第C.
10节"反射服务".
--services-reflection-auth启用对SGDGateway反射服务进行经过验证的访问.
默认情况下,该服务处于禁用状态.
有关SGDGateway反射服务的更多详细信息,请参见第C.
10节"反射服务".
--routes-http-redirect启用HTTP重定向服务.
示例28选项描述默认情况下,该服务处于禁用状态.
示例以下示例启用对SGDGateway反射服务进行经过验证的访问.
#/opt/SUNWsgdg/bin/gatewayconfigenable--services-reflection-authB.
8gatewayconfiglist列出SGDGateway的当前配置.
语法gatewayconfiglist[--binding]routes-http-maxcon]routes-aip-maxcon]routes-ws-maxcon]routes-reverseproxy-redirect]services-reflection-binding]services-reflection-auth-binding]描述这些命令行选项使您能够列出特定的配置设置.
如果未指定选项,则将显示SGDGateway的完整配置详细信息.
SGDGateway的当前配置存储在/opt/SUNWsgdg/etc/gatewayconfig.
xml文件中.
下表显示了此命令的可用选项.
选项描述--bindingSGDGateway侦听传入代理连接所使用的接口和端口--routes-http-maxconHTTP连接的最大数量--routes-aip-maxcon自适应Internet协议(AdaptiveInternetProtocol,AIP)连接的最大数量--routes-ws-maxconWebsocket最大连接数.
Websocket连接用于SGDGateway与平板电脑设备之间的数据连接.
--routes-reverseproxy-redirectHTTP重定向端口--services-reflection-binding用于对SGDGateway反射服务进行未经验证的访问的接口和端口--services-reflection-auth-binding用于对SGDGateway反射服务进行经过验证的访问的接口和端口示例以下示例显示SGDGateway的绑定配置和AIP连接的最大数量.
#/opt/SUNWsgdg/bin/gatewayconfiglist--binding--routes-aip-maxconbinding:*:443routes-aip-maxcon:2920以下示例显示SGDGateway当前配置的完整详细信息.
#/opt/SUNWsgdg/bin/gatewayconfiglistbinding:*:443routes-http-maxcon:100routes-aip-maxcon:2920routes-ws-maxcon:512gatewaykeyimport29routes-reverseproxy-redirect:nullservices-reflection-binding:localhost:81services-reflection-auth-binding:*:82B.
9gatewaykeyimport将SGDGateway密钥和SGDGateway证书导入SGDGateway密钥库.
语法gatewaykeyimport--keyfilekey-filekeyalgRSA|DSA]certfilecert-file|certfilecert-file.
.
[--cacertfileca-cert-file]}alwaysoverwrite]描述将私钥和相应的公钥证书导入位于/opt/SUNWsgdg/proxy/etc/keystore的SGDGateway密钥库.
如果该密钥库已有SGDGateway密钥条目,则它将被覆盖.
默认情况下,将显示确认提示.
为访问SGDGateway密钥库,此命令使用/opt/SUNWsgdg/etc/password中的密码.
如果未提供此文件,则该命令会提示输入密码.
下表显示了此命令的可用选项.
选项描述--keyfile包含私钥的文件.
该密钥必须是PEM格式.
--keyalg私钥使用的编码算法.
选项为RSA和DSA.
默认情况下,选择RSA.
--certfileSSL证书文件.
--cacertfileCA或根证书文件.
--alwaysoverwrite在覆盖密钥库中的条目之前不进行提示.
要导入证书链,请使用--cacertfile选项来指定中间CA证书.
链中的所有证书都必须是PEM格式.
如果证书链使用多个CA证书,将链中的所有CA证书整合到一个文件中.
用于对服务器证书进行签名的CA证书必须首先出现,例如:-----BEGINCERTIFICATE-----.
.
.
IntermediateCA'scertificate.
.
.
-----ENDCERTIFICATE----------BEGINCERTIFICATE-----.
.
.
CArootcertificate.
.
.
-----ENDCERTIFICATE-----示例以下示例将RSA编码的私钥gateway1.
key和相应的公钥证书gateway1.
pem导入SGDGateway密钥库.
#/opt/SUNWsgdg/bin/gatewaykeyimport\--keyfilegateway1.
key\--certfilegateway1.
pem以下示例将私钥和证书链导入SGDGateway密钥库.
中间CA证书为gateway1-ca.
pem.
#/opt/SUNWsgdg/bin/gatewaykeyimport\--keyfilegateway1.
key\gatewayrestart30--certfilegateway1.
pem\--cacertfilegateway1-ca.
pemB.
10gatewayrestart停止然后重新启动SGDGateway.
语法gatewayrestart[--force]描述停止然后重新启动SGDGateway.
在停止SGDGateway之前,将提示用户进行确认.
--force选项会在不要求确认的情况下停止SGDGateway.
示例以下示例在提示用户进行确认后停止然后重新启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewayrestartB.
11gatewayserver授权SGD服务器使用SGDGateway.
语法gatewayserveradd|remove|list描述下表显示了此命令的可用子命令.
子命令描述更多信息add授权SGD服务器使用SGDGateway第B.
12节"gatewayserveradd"remove删除SGD服务器使用SGDGateway的授权第B.
14节"gatewayserverremove"list列出授权使用SGDGateway的SGD服务器第B.
13节"gatewayserverlist"示例以下示例删除SGD服务器sgd.
example.
com使用SGDGateway的授权.
#/opt/SUNWsgdg/bin/gatewayserverremove--serversgd.
example.
comB.
12gatewayserveradd授权SGD服务器使用SGDGateway.
语法描述31gatewayserveradd--serverserver-namecertfilecert-fileurlserver-urlssl-certfilessl-cert]描述下表显示了此命令的可用选项.
选项描述--serverSGD服务器的DNS名称--cert-fileSGD服务器的证书颁发机构(CertificateAuthority,CA)证书--urlSGDWeb服务器的URL--ssl-certfileSGD服务器的SSL证书gatewayserveradd命令执行以下操作:将SGD服务器的CA证书导入位于/opt/SUNWsgdg/proxy/etc/keystore的SGDGateway密钥库.
CA证书使用别名存储在密钥库中,该别名与--server选项指定的SGD服务器名称相同.
将SGD服务器的SSL证书导入位于/opt/SUNWsgdg/proxy/etc/keystore的SGDGateway密钥库.
使用别名将SSL证书存储到密钥库中,该别名是通过将-ssl附加到由--server选项指定的SGD服务器名称而构成的.
将SGD服务器添加到Apache反向代理服务器使用的负载平衡组注意使用gatewayserveradd后,您必须重新启动SGDGateway才能使任何更改生效.
示例以下示例使用别名sgd.
example.
com将CA证书PeerCAcert.
pem添加到SGDGateway密钥库.
还使用别名sgd.
example.
com-ssl将SSL证书cert.
pem添加到密钥库.
#/opt/SUNWsgdg/bin/gatewayserveradd--serversgd.
example.
com\--certfilePeerCAcert.
pem\--urlhttps://sgd.
example.
com\--ssl-certfilecert.
pem在该示例中,SGDWeb服务器的URLhttps://sgd.
example.
com添加到反向代理负载平衡组,并在/opt/SUNWsgdg/httpd/apache-version/conf/extra/gateway/servers/conf/sgd.
example.
com.
conf中创建配置文件.
B.
13gatewayserverlist显示授权使用SGDGateway的SGD服务器的详细信息.
语法gatewayserverlist描述此命令显示授权使用SGDGateway的SGD服务器的证书详细信息和URL.
示例以下示例列出SGDGateway的授权SGD服务器的详细信息.
gatewayserverremove32#/opt/SUNWsgdg/bin/gatewayserverlistB.
14gatewayserverremove删除SGD服务器使用SGDGateway的授权.
语法gatewayserverremove--serverserver-name描述将SGD服务器的CA证书和SSL证书从SGDGateway密钥库中删除.
注意使用gatewayserverremove后,您必须重新启动SGDGateway才能使任何更改生效.
示例以下示例删除SGD服务器sgd.
example.
com使用SGDGateway的授权.
#/opt/SUNWsgdg/bin/gatewayserverremove--serversgd.
example.
comB.
15gatewaysetup运行SGDGateway的安装程序.
语法gatewaysetup描述回答屏幕上的问题来配置SGDGateway使用的端口、接口和安全设置.
示例以下示例运行SGDGateway安装程序.
#/opt/SUNWsgdg/bin/gatewaysetupB.
16gatewaysslcert输出或导出存储在客户端密钥库中的SGDGatewaySSL证书.
语法gatewaysslcertexport|print描述下表显示了此命令的可用子命令.
示例33子命令描述更多信息export从客户端密钥库导出SGDGatewaySSL证书第B.
17节"gatewaysslcertexport"print输出存储在客户端密钥库中的SGDGatewaySSL证书第B.
18节"gatewaysslcertprint"示例以下示例输出存储在客户端密钥库中的SGDGatewaySSL证书.
#/opt/SUNWsgdg/bin/gatewaysslcertprintB.
17gatewaysslcertexport从客户端密钥库导出SGDGatewaySSL证书.
语法gatewaysslcertexport--certfilecert-file描述从位于/opt/SUNWsgdg/proxy/etc/keystore.
client的客户端密钥库导出SGDGatewaySSL证书.
该证书写入由--certfile选项指定的文件.
为访问客户端密钥库,此命令使用/opt/SUNWsgdg/etc/password中的密码.
如果未提供此文件,则该命令会提示输入密码.
示例以下示例将SGDGatewaySSL证书从客户端密钥库导出到文件gateway-ssl.
pem中.
#/opt/SUNWsgdg/bin/gatewaysslcertexport--certfilegateway-ssl.
pemB.
18gatewaysslcertprint输出SGDGatewaySSL证书.
语法gatewaysslcertprint描述输出存储在位于/opt/SUNWsgdg/proxy/etc/keystore.
client的客户端密钥库中的SGDGatewaySSL证书.
此命令将证书的详细信息写入终端窗口.
为访问客户端密钥库,此命令使用/opt/SUNWsgdg/etc/password中的密码.
如果未提供此文件,则该命令会提示输入密码.
示例以下示例输出存储在客户端密钥库中的SGDGatewaySSL证书.
#/opt/SUNWsgdg/bin/gatewaysslcertprintgatewaysslkey34B.
19gatewaysslkey管理客户端密钥库中的SSL密钥和证书条目.
语法gatewaysslkeyimport|export描述下表显示了此命令的可用子命令.
子命令描述更多信息import将私钥和证书导入客户端密钥库第B.
21节"gatewaysslkeyimport"export从客户端密钥库导出私钥第B.
20节"gatewaysslkeyexport"示例以下示例导出存储在客户端密钥库中的SGDGatewaySSL证书.
#/opt/SUNWsgdg/bin/gatewaysslkeyexport--keyfilegateway-ssl.
keyB.
20gatewaysslkeyexport从客户端密钥库导出SGDGatewaySSL私钥.
语法gatewaysslkeyexport--keyfilekey-file[--keypasspasswd]描述从位于/opt/SUNWsgdg/proxy/etc/keystore.
client的客户端密钥库导出SGDGatewaySSL私钥.
该私钥写入由--keyfile选项指定的文件.
可使用--keypass选项指定私钥的密码.
默认情况下,使用来自/opt/SUNWsgdg/etc/password的密码.
示例以下示例将SGDGatewaySSL私钥从客户端密钥库导出到文件gateway-ssl.
key中.
#/opt/SUNWsgdg/bin/gatewaysslkeyexport--keyfilegateway-ssl.
keyB.
21gatewaysslkeyimport将SSL密钥和证书导入客户端密钥库.
语法gatewaysslkeyimport--keyfilekey-filekeypass]keyalgRSA|DSA]certfilecert-file|描述35certfilecert-file.
.
[--cacertfileca-cert-file]}alwaysoverwrite]描述将SSL私钥和相应的SSL证书导入位于/opt/SUNWsgdg/proxy/etc/keystore.
client的客户端密钥库.
默认情况下,该密钥库包含一个自签名证书.
如果客户端密钥库已有一个条目,此命令将覆盖该条目.
默认情况下,在覆盖密钥库条目之前将显示确认提示.

为访问客户端密钥库,此命令使用/opt/SUNWsgdg/etc/password中的密码.
如果未提供此文件,则该命令会提示输入密码.
指定--keypass作为参数会提示用户输入私钥的密码.
如果私钥有密码保护,则必须使用此选项.

下表显示了此命令的可用选项.
选项描述--keyfile包含SSL私钥的文件.
该密钥必须为保密性增强的电子邮件(PrivacyEnhancedMail,PEM)格式.
--keypass提示输入SSL私钥的密码.
如果私钥有密码保护,应使用此选项.
--keyalg私钥使用的编码算法.
选项为RSA和数字签名算法(DigitalSignatureAlgorithm,DSA).
默认情况下,选择RSA.
--certfileSSL证书文件.
--cacertfileCA证书或根证书文件.
--alwaysoverwrite在覆盖客户端密钥库中的条目之前不进行提示.
要导入证书链,请使用--cacertfile选项来指定中间CA证书.
链中的所有证书都必须是PEM格式.
如果证书链使用多个CA证书,将链中的所有CA证书整合到一个文件中.
用于对服务器证书进行签名的CA证书必须首先出现,例如:-----BEGINCERTIFICATE-----.
.
.
IntermediateCA'scertificate.
.
.
-----ENDCERTIFICATE----------BEGINCERTIFICATE-----.
.
.
CArootcertificate.
.
.
-----ENDCERTIFICATE-----示例以下示例将RSA编码的SSL私钥gateway1-ssl.
key和相应的SSL证书gateway1-ssl.
pem导入客户端密钥库.
将提示用户输入私钥的密码.
#/opt/SUNWsgdg/bin/gatewaysslkeyimport\--keyfilegateway1-ssl.
key\--certfilegateway1-ssl.
pem\--keypass以下示例将RSA编码的SSL私钥和SSL证书链导入客户端密钥库.
中间CA证书为gateway1-ca.
pem.
#/opt/SUNWsgdg/bin/gatewaysslkeyimport\--keyfilegateway1-ssl.
key\--certfilegateway1-ssl.
pem\--cacertfilegateway1-ca.
pemB.
22gatewaystart启动SGDGateway.
语法36语法gatewaystart描述启动SGDGateway.
示例以下示例启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewaystartSGDGatewaystartedsuccessfullyB.
23gatewaystatus显示SGDGateway的当前状态.
语法gatewaystatus描述此命令指示SGDGateway是启动、停止还是出现问题.
示例以下示例显示SGDGateway的状态信息.
在本示例中,SGDGateway停止.
#/opt/SUNWsgdg/bin/gatewaystatusSGDGatewaystatus:STOPPEDB.
24gatewaystop停止SGDGateway.
语法gatewaystop[--force]描述提示用户进行确认后,停止SGDGateway.
--force选项会在不要求确认的情况下停止SGDGateway.
示例以下示例在提示用户进行确认后停止SGDGateway.
#/opt/SUNWsgdg/bin/gatewaystopgatewayuninstall37B.
25gatewayuninstall卸载SGDGateway软件.
语法gatewayuninstall描述停止SGDGateway并删除SGDGateway软件,其中包括所有配置信息.
在停止SGDGateway之前,此命令将提示用户进行确认.
示例以下示例从运行命令的主机卸载SGDGateway软件.
#/opt/SUNWsgdg/bin/gatewayuninstallB.
26gatewayversion显示SGDGateway软件的版本号.
语法gatewayversion描述显示SGDGateway的版本号.
示例以下示例显示在运行命令的主机上安装的SGDGateway版本.
#/opt/SUNWsgdg/bin/gatewayversionOracleSecureGlobalDesktopGateway4.
50.
301B.
27tarantellagateway命令使用tarantellagateway命令可为SGD阵列配置授权网关.
语法tarantellagatewayadd|list|remove描述使用tarantellagateway命令,您可以添加、删除并列出SGD阵列的网关.
可以对阵列中的任何SGD服务器使用tarantellagateway命令.
所做的任何更改都将自动复制到其他阵列成员中.
当某个SGD服务器加入阵列后,在主SGD服务器上定义的一组网关将被复制到新的阵列成员,覆盖已提供的任何授权网关.
当SGD服务器从阵列中分离时,不会从该服务器中删除已注册的网关.
示例38下表显示了tarantellagateway命令的可用子命令.
子命令描述更多信息add为SGD阵列添加SGDGateway第B.
28节"tarantellagatewayadd"list列出SGD阵列的SGDGateway第B.
29节"tarantellagatewaylist"remove删除SGD阵列的SGDGateway第B.
30节"tarantellagatewayremove"注意所有tarantellagateway子命令都包含--help选项.
您可以使用此选项来显示相关子命令的帮助信息.
示例以下示例将gateway1.
example.
com添加到SGD阵列的注册网关列表.
$tarantellagatewayadd--namegateway1.
example.
com\--certfile/opt/gateway1_cert_file.
pemB.
28tarantellagatewayadd向SGD阵列注册SGDGateway.
语法tarantellagatewayadd{nameserver-namecertfilecert-filefilefile描述下表显示了此命令的可用选项.
选项描述--name要注册的SGDGateway名称.
--certfileSGD服务器使用的SGDGateway证书.
该证书可以是确定性编码规则(DefiniteEncodingRules,DER)格式或PEM格式.
--file包含多个SGDGateway的配置设置的批处理文件.
示例以下示例将gateway1.
example.
com添加到SGD阵列的注册网关列表.
$tarantellagatewayadd--namegateway1.
example.
com\--certfile/opt/gateway1_cert_file.
pem以下示例使用带--file选项的tarantellagatewayadd来同时注册多个网关.
$tarantellagatewayadd--filegateways.
list--file选项指定一个批处理文件gateways.
list,其中包含每个网关的一系列设置,如下所示:--namegateway1.
example.
com--certfile/opt/gateway1_cert_file.
pem--namegateway2.
example.
com--certfile/opt/gateway2_cert_file.
pemtarantellagatewaylist39B.
29tarantellagatewaylist列出SGD阵列的注册SGDGateway.
语法tarantellagatewaylist描述显示使用tarantellagatewayadd向SGD阵列注册的SGDGateway的详细信息.
示例以下示例列出SGD阵列的注册网关.
$tarantellagatewaylistB.
30tarantellagatewayremove从SGD阵列的注册网关列表中删除SGDGateway.
语法tarantellagatewayremove--nameserver-name|--filefile描述下表显示了此命令的可用选项.
选项描述--name将删除其注册详细信息的SGDGateway的名称--file包含多个SGDGateway的配置设置的批处理文件示例以下示例将SGDGatewaygateway1.
example.
com从SGD阵列的注册网关列表中删除.
$tarantellagatewayremove--namegateway1.
example.
comB.
31--security-gateway属性描述可以使用--security-gateway属性为SGD阵列设置SGDGateway的用法.
该属性定义以下内容:可访问SGDGateway的SGDClient,基于其IP地址或DNS名称定义.
客户端设备用于联系SGDGateway的地址.
注意--security-gateway属性仅适用于AIP连接.
HTTP连接的路由是由Gateway的Apache反向代理组件上的HTTP负载平衡服务处理的.
对--security-gateway属性所做的更改将应用于阵列中的所有SGD服务器.
语法40语法--security-gateway属性的语法如下所示:--security-gatewayfilter-spec.
.
.
将filter-spec替换为以下类型的过滤器规范:client-ip-address|*:gatewayprotocol:gateway-address:gateway-portclient-ip-address是SGDClient的IP地址.
对于通过SGDGateway的连接,这是SGDGateway用于连接阵列中的SGD服务器的接口.
一个星号*表示所有IP地址.
客户端IP地址字符串可以包含*和通配符,其中*匹配多个字符,匹配单个字符.
例如:192.
169.
10.
*匹配192.
169.
10网络上的所有地址.
192.
169.
10.
12匹配范围从192.
169.
10.
120到192.
169.
10.
129的地址.
注意如果要将外部负载平衡器用于SGDGateway,请为client-ip-address键入负载平衡器的地址.
对于通过SGDGateway的连接,gatewayprotocol是sgdg,对于直接连接SGD阵列(不通过SGDGateway)的SGDClient,则是direct.
gateway-address是SGDGateway或外部负载平衡器(如果使用)的外部地址.
这是客户端设备用于联系SGDGateway的地址.
对于到SGD阵列的direct(直接)连接,请指定阵列中主服务器的地址.
gateway-port是客户端设备用于连接SGDGateway或外部负载平衡器(如果使用)的TCP端口.
对于到SGD阵列的direct(直接)连接,请指定阵列中主服务器的端口.
使用逗号分隔多个filter-spec条目,并使用双引号("")将整个字符串括起.
请参见"使用多个过滤器"一节.
示例以下示例使所有SGDClient使用SGDGatewaygateway1.
example.
com的TCP端口443进行连接.
$tarantellaconfigedit--security-gateway"*:sgdg:gateway1.
example.
com:443"以下示例使所有SGDClient使用外部负载平衡器lb.
example.
com进行连接.
$tarantellaconfigedit--security-gateway"*:sgdg:lb.
example.
com:443"以下示例使所有SGDClient直接连接SGD阵列,而不通过SGDGateway.
阵列中的主服务器为sgd1.
example.
com.
$tarantellaconfigedit--security-gateway"*:direct:sgd1.
example.
com:443"使用多个过滤器您可以使用多个过滤器规范,如以下示例中所示.
请考虑图B.
1"使用多个过滤器规范"中所示的基本部署.
该部署使用一个SGDGatewaygateway1.
example.
com和包含两个SGD服务器(sgd1.
example.
com和sgd2.
example.
com)的SGD阵列.
阵列中的主服务器为sgd1.
example.
com.
使用多个过滤器41内部网络上的SGDGateway地址为192.
168.
0.
250.
图B.
1使用多个过滤器规范以下过滤器规范可用于本示例:"192.
168.
0.
250:sgdg:gateway1.
example.
com:443,*:direct:sgd1.
example.
com:80"使用此配置时,遵循以下方式:允许从SGDGatewayIP地址192.
168.
0.
250建立到阵列中SGD服务器的连接.
组织外的SGDClient使用SGDGatewaygateway1.
example.
com的TCP端口443进行连接.
所有其他SGDClient(如局域网(LocalAreaNetwork,LAN)上的SGDClient)直接连接到主SGD服务器sgd1.
example.
com上的TCP端口80.
这些连接不使用SGDGateway.
过滤器的顺序很重要.
如果过滤器的顺序相反,则所有SGDClient将直接连接SGD服务器sgd1.
example.
com.
4243附录C高级配置本章包含有关配置和使用OracleSecureGlobalDesktopGateway(SGDGateway)高级功能的信息.
本章包括以下主题:第C.
1节"调整SGDGateway"第C.
3节"配置HTTP重定向"第C.
4节"更改SGDGateway的绑定端口"第C.
5节"使用未加密的SGD阵列连接"第C.
6节"使用外部SSL加速器"第C.
7节"配置SGDGateway的密码"第C.
8节"将客户端证书用于SGDGateway"第C.
9节"启用BalancerManager应用程序"第C.
10节"反射服务"C.
1调整SGDGateway安装SGDGateway时,系统会根据SGDGateway主机上的可用内存,自动配置并发自适应Internet协议(AdaptiveInternetProtocol,AIP)、Websocket和HTTP连接最大数量的默认值.
同时还将针对此连接数量优化分配给SGDGateway的Java虚拟机(JavaVirtualMachine,JVM)的内存大小.
安装SGDGateway之后,可以根据预期的SGD用户数以及他们将运行的应用程序数调整默认设置.
执行此操作时,可能还需要调整JVM内存大小.
此过程称为调整SGDGateway.
小心如果JVM内存大小对于预期的连接数来说过低,SGDGateway可能会停止工作并拒绝后续的所有连接.
在这种情况下,您需要调整SGDGateway,以便有足够的JVM内存可用.
SGDGateway显示java.
lang.
OutOfMemoryError错误消息表示可能需要进行调整.
要调整SGDGateway,您需要执行以下操作:更改AIP最大连接数.
请参见第C.
1.
1节"更改AIP最大连接数".
更改Websocket最大连接数.
请参见第C.
1.
2节"更改Websocket最大连接数".
更改HTTP最大连接数.
请参见第C.
1.
3节"更改HTTP最大连接数".
更改JVM内存大小.
请参见第C.
1.
4节"更改JVM内存大小".
C.
1.
1更改AIP最大连接数AIP最大连接数在安装时配置.
默认设置取决于SGDGateway主机上可用的内存资源.
可以将此设置改为更适合您的部署的值.
有关如何计算SGDGateway使用的AIP最大连接数的详细信息,请参见第C.
1.
1.
1节"计算AIP连接数".
要更改AIP最大连接数,请使用带--routes-aip-maxcon选项的gatewayconfigedit命令.
例如,要将AIP最大连接数更改为3000,请运行以下命令:#/opt/SUNWsgdg/bin/gatewayconfigedit--routes-aip-maxcon3000必须重新启动SGDGateway才能启用所做的任何更改.
更改Websocket最大连接数44C.
1.
1.
1计算AIP连接数SGDGateway使用的AIP连接数取决于SGD并发用户数以及他们运行的应用程序数,具体如下:AIP连接数=(应用程序数+3)xSGD用户数例如,如果SGDGateway具有1000个SGD用户,每个用户运行四个应用程序,则需要的并发AIP最大连接数如下:(4+3)x1000=7000个AIP连接C.
1.
2更改Websocket最大连接数Websocket连接是与平板电脑设备的AIP连接.
Websocket最大连接数在安装时配置.
默认设置取决于SGDGateway主机上可用的内存资源.
可以将此设置改为更适合您的部署的值.
SGDGateway所用Websocket最大连接数的计算方式与AIP连接数相同.
有关详细信息,请参见第C.
1.
1.
1节"计算AIP连接数".
要更改Websocket最大连接数,请使用带--routes-ws-maxcon选项的gatewayconfigedit命令.
例如,要将Websocket最大连接数更改为1000,请运行以下命令:#/opt/SUNWsgdg/bin/gatewayconfigedit--routes-ws-maxcon1000必须重新启动SGDGateway才能启用所做的任何更改.
C.
1.
3更改HTTP最大连接数HTTP最大连接数在安装时配置.
此设置定义最大并发用户数.
默认值为100.
要更改HTTP最大连接数,请使用带--routes-http-maxcon选项的gatewayconfigedit命令.
例如,要将HTTP最大连接数更改为200,请运行以下命令:#/opt/SUNWsgdg/bin/gatewayconfigedit--routes-http-maxcon200必须重新启动SGDGateway才能启用所做的任何更改.
C.
1.
4更改JVM内存大小更改AIP、Websocket和HTTP最大连接数时,可能需要更改分配给SGDGateway的JVM的内存大小.
为此,请编辑/opt/SUNWsgdg/proxy/etc/tuning_parameters文件中的以下设置:-Xms-JVM的初始内存大小(以字节为单位)-Xmx-JVM的最大内存大小(以字节为单位)提示可以将K(kilo,千)和M(mega,兆)修饰符用于这些设置.
例如:960K=960千字节,512M=512兆字节.
有关如何计算JVM内存大小值的详细信息,请参见第C.
1.
4.
1节"计算JVM内存大小".
注意确保系统配置有足够的内存资源来支持您所做的JVM设置.
必须重新启动SGDGateway才能启用所做的任何更改.
C.
1.
4.
1计算JVM内存大小SGDGateway使用的JVM内存量取决于并发AIP连接数、Websocket连接数和HTTP连接数.
为平板电脑设备连接配置数据压缩45由于每个SGDGateway连接大约需要300千字节的JVM内存,因此所需的JVM内存的计算公式为:(AIP连接数+Websocket连接数+HTTP连接数)x300千字节例如,如果SGDGateway具有500个SGD用户,每个用户运行两个应用程序.
并发AIP最大连接数为:(2+3)x500=2500个AIP连接假设SGDGateway有100个平板电脑设备用户,每个用户运行两个应用程序.
并发Websocket最大连接数为:(2+3)x100=500个Websocket连接SGDGateway还必须能处理足够的SGDWeb服务器并发HTTP连接.
对于此示例,HTTP最大连接数为:300个HTTP连接因此,所需的JVM内存为:(2500+500+300)x300千字节=大约990兆字节.
注意在/opt/SUNWsgdg/proxy/etc/tuning_parameters文件中,将-Xms和-Xmx参数设置为计算的JVM内存值.
出于性能原因,-Xms和-Xmx通常设置为同一值.
C.
2为平板电脑设备连接配置数据压缩默认情况下,会对SGDGateway与平板电脑设备之间的数据连接进行压缩.
这称为Websocket压缩.
对于某些网络部署,您可能希望禁用Websocket压缩.
例如,如果需要减少客户端设备上的处理负载.
要为Gateway禁用Websocket压缩,请编辑/opt/SUNWsgdg/etc/gateway.
xml文件中的设置,如下所示:off必须重新启动SGDGateway才能启用所做的任何更改.
注意Gateway的Websocket压缩设置优先于SGD阵列使用的Websocket压缩设置.
请参见《OracleSecureGlobalDesktop管理指南》中的ConfiguringDataCompressionforConnectionstoTabletDevices一节.
C.
3配置HTTP重定向默认情况下,SGDGateway会拒绝TCP端口80上的HTTP连接.
要启用TCP端口80上的连接,请使用gatewayconfigenable命令来启用HTTP重定向服务,如下所示:#/opt/SUNWsgdg/bin/gatewayconfigenable--routes-http-redirect必须重新启动SGDGateway才能启用所做的任何更改.
C.
4更改SGDGateway的绑定端口SGDGateway用于传入连接的接口和端口称为绑定端口.
默认情况下,SGDGateway使用所有接口上的TCP端口443作为绑定端口.
要更改绑定端口,请使用带--binding选项的gatewayconfigedit命令.
例如,要将绑定端口更改为TCP端口4443,请运行以下命令:使用未加密的SGD阵列连接46#/opt/SUNWsgdg/bin/gatewayconfigedit--binding*:4443或者,也可以通过在SGDGateway主机上运行/opt/SUNWsgdg/bin/gatewayconfigcreate命令来更改绑定端口.
此命令提示您指定用于传入代理连接的接口和端口.
注意gatewayconfigcreate命令将创建新配置并覆盖您以前所做的任何配置设置.
必须重新启动SGDGateway才能启用所做的任何更改.
C.
5使用未加密的SGD阵列连接默认情况下,SGDGateway与阵列中SGD服务器之间的连接使用安全套接字层(SecureSocketsLayer,SSL)进行安全保护.
这意味着SSL上的AIP数据使用TCP端口5307,HTTPS数据使用TCP端口443.
要在SGDGateway与阵列中的SGD服务器之间使用未加密连接,请参见第C.
5.
1节"配置Gateway以使用未加密的SGD阵列连接".
对于未加密连接,AIP数据使用TCP端口3144,HTTP数据使用TCP端口80.
C.
5.
1配置Gateway以使用未加密的SGD阵列连接此过程介绍了如何重新配置Gateway部署以使用未加密连接.
1.
修改Gateway配置以使用未加密的SGD阵列连接.
#gatewayconfigcreate注意此命令将覆盖Gateway的当前配置.
提示是否保护Gateway与阵列中的SGD服务器之间的连接安全时,请输入n.
2.
删除Gateway的任何以前注册的SGD服务器.
#/opt/SUNWsgdg/bin/gatewayserverremove--serversgd.
example.
com其中,sgd.
example.
com是SGD服务器的名称.
将从Gateway密钥库中删除SGD服务器的CA证书和SSL证书.
3.
确保将阵列中的SGD服务器配置为使用标准的未加密连接.
针对阵列中的每个SGD服务器运行以下命令以关闭SGD安全服务.
#tarantellasecuritydisable4.
向Gateway注册阵列中的SGD服务器.
#/opt/SUNWsgdg/bin/gatewayserveradd--serversgd.
example.
com\--certfilePeerCAcert.
pem\--urlhttp://sgd.
example.
com此示例使用别名sgd.
example.
com将CA证书PeerCAcert.
pem添加到SGDGateway密钥库.
SGDWeb服务器的URL是http://sgd.
example.
com.
5.
重新启动Gateway.
#/opt/SUNWsgdg/bin/gatewayrestart使用外部SSL加速器47C.
6使用外部SSL加速器默认情况下,SGDGateway配置为使用通过SSL进行安全保护的传入HTTP和AIP数据连接.
Gateway也支持使用外部SSL加速器进行SSL处理.
要将外部SSL加速器与Gateway结合使用,请执行以下操作:配置外部SSL加速器来解密SSL连接并将其作为未加密的连接转发给Gateway.
在Gateway上启用外部SSL加速器支持.
这将使Gateway能够在安全端口上接受未加密连接.
请参见第C.
6.
1节"如何启用外部SSL加速器支持".
确保客户端设备将SSL加速器用作网络入口点.
通常,SSL加速器同时还是负载平衡器.
要配置SGD服务器和Gateway实现负载平衡部署,请参见第2.
1.
2节"负载平衡部署"中的说明.
C.
6.
1如何启用外部SSL加速器支持确保没有任何用户通过Gateway连接到SGD.
1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
启用对未加密传入连接的支持.
更改gateway.
xml文件的符号链接,以便其链接到gateway-plaintext.
xml文件,而不是默认设置gateway-ssl.
xml.
运行以下命令:#ln-fs/opt/SUNWsgdg/etc/gateway-plaintext.
xml/opt/SUNWsgdg/etc/gateway.
xml3.
(可选)更改Gateway的绑定端口.
根据您的网络配置,您可能还需要更改SGDGateway的绑定端口.
请参见第C.
4节"更改SGDGateway的绑定端口".
4.
重新启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewayrestartC.
7配置SGDGateway的密码对于SSL连接,Gateway支持众多密码套件.
有关支持的密码套件的列表,请参见《OracleSecureGlobalDesktop平台支持和发行说明》.
在安装期间,会将Gateway配置为使用只包含高级密码的密码集.
这意味着到Gateway的SSL连接将始终使用增强的安全性.
如果需要,可以将Gateway配置为使用其他密码集.
C.
7.
1如何为Gateway配置密码1.
停止Gateway.
#/opt/SUNWsgdg/bin/gatewaystop2.
配置所需的密码.
在/opt/SUNWsgdg/etc目录中,编辑ciphersuites.
xml文件.
默认情况下,ciphersuites.
xml文件包含以下高级密码条目.
将客户端证书用于SGDGateway48SSL_RSA_WITH_RC4_128_MD5SSL_RSA_WITH_RC4_128_SHATLS_RSA_WITH_AES_128_CBC_SHATLS_RSA_WITH_AES_256_CBC_SHATLS_DHE_RSA_WITH_AES_128_CBC_SHATLS_DHE_RSA_WITH_AES_256_CBC_SHATLS_DHE_DSS_WITH_AES_128_CBC_SHATLS_DHE_DSS_WITH_AES_256_CBC_SHASSL_RSA_WITH_3DES_EDE_CBC_SHASSL_DHE_RSA_WITH_3DES_EDE_CBC_SHASSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA3.
检查以下条目是否存在于/opt/SUNWsgdg/etc/gateway.
xml文件中,以便包含ciphersuites.
xml.
.
.
.
.
.
.
.
.
.
4.
重新启动Gateway.
#/opt/SUNWsgdg/bin/gatewaystartC.
8将客户端证书用于SGDGateway可以使用客户端证书来增强SGDGateway的安全性,客户端证书会将访问限定在具有有效证书的用户内.
客户端证书是指安装在客户端设备上的浏览器中的SSL证书.
有关如何安装客户端证书的详细信息,请参见所用浏览器的联机文档.
如果需要为新的客户端证书生成证书签名请求(certificatesigningrequest,CSR),请参见第C.
8.
2节"如何为客户端证书生成CSR".
以下过程使用keytool应用程序.
有关如何使用keytool应用程序的详细信息,请参见JDKToolsandUtilities(JDK工具和实用程序)文档.
C.
8.
1如何将SGDGateway配置为使用客户端证书1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
停止SGDGateway.
#/opt/SUNWsgdg/bin/gatewaystop3.
将SGDGateway配置为使用客户端证书进行HTTPS客户端连接.
将条目添加到/opt/SUNWsgdg/etc/gateway.
xml文件中,如下所示:trueDecryptsHTTPStraffic-->subServiceid="ssl-splitter">binding>*如何为客户端证书生成CSR49subService>4.
(可选)将客户端证书导入到SGDGateway客户端密钥库中.
注意如果客户端证书是由受信任的证书颁发机构(CertificateAuthority,CA)签名的,则无需执行此步骤.
按如下方式使用keytool命令:#/opt/SUNWsgdg/java/default/bin/keytool-importcert\-aliasmycert-keystore/opt/SUNWsgdg/proxy/etc/keystore.
client\-filemycert.
crt-storepass'cat/opt/SUNWsgdg/etc/password'在此示例中,客户端证书mycert.
crt导入到SGDGateway客户端密钥库中.
客户端证书使用mycert别名存储.
5.
启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewaystartC.
8.
2如何为客户端证书生成CSR要获取可用于Gateway的客户端证书,首先需要生成CSR.
随后将CSR发送给证书颁发机构(CertificateAuthority,CA)进行签名.
注意以下过程介绍了如何使用Gateway主机上的keytool应用程序生成CSR.
但是,不一定要使用此过程中介绍的步骤.
您可以改用自己喜欢的证书管理工具来生成CSR.
1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
生成自签名证书和相应的私钥.
按如下方式使用keytool命令:#/opt/SUNWsgdg/java/default/bin/keytool-genkeypair-keyalgRSA\-aliasmycert-keystorekeystore.
mycert-storepassletmein在此示例中,将创建自签名证书和私钥并将其存储在名为keystore.
mycert的密钥库中.
密钥对使用mycert别名存储.
3.
为自签名证书生成CSR.
按如下方式使用keytool命令:#/opt/SUNWsgdg/java/default/bin/keytool-certreq\-aliasmycert-keystorekeystore.
mycert-storepassletmein\-file/tmp/gateway-name.
csr在此示例中,生成了CSR并将其存储在/tmp/gateway-name.
csr文件中,其中gateway-name是Gateway的名称.
C.
9启用BalancerManager应用程序Apache反向代理包括名为BalancerManager的Web应用程序.
通过BalancerManager,可以管理反向代理使用的负载平衡组中的SGDWeb服务器.
使用BalancerManager,可以执行以下操作:查看负载平衡组中SGDWeb服务器的状态信息反射服务50查看和更改SGDWeb服务器的负载平衡路由从负载平衡组中删除SGDWeb服务器要启用BalancerManager,请删除反向代理配置文件/opt/SUNWsgdg/httpd/apache-version/conf/extra/gateway/httpd-gateway.
conf中用于禁用该应用程序的注释.
#Allowstheconfigurationofloadbalancingparameters###SetHandlerbalancer-manager#OrderDeny,Allow#Denyfromall#Allowfromall#必须重新启动Gateway才能启用所做的任何更改.
#/opt/SUNWsgdg/bin/gatewayrestart要访问BalancerManager,请启动浏览器并转至https://gateway.
example.
com/balancer-manager,其中gateway.
example.
com为SGDGateway主机.
有关配置BalancerManager的更多详细信息,请参见Apachemod_proxy_balancer文档.
C.
10反射服务反射服务是SGDGateway路由代理组件使用的一组RESTfulWeb服务.
使用反射服务,SGDGateway管理员可以配置路由、服务、日志记录级别以及连接,并显示路由代理的状态信息.
本节包括以下反射服务主题:第C.
10.
1节"启用反射服务"第C.
10.
2节"使用反射服务"C.
10.
1启用反射服务默认情况下,不会为SGDGateway启用反射服务.
可以为反射服务启用下面的一种或两种访问方法:未授权访问-用户无需进行验证.
默认情况下,仅可以从SGDGateway主机进行未授权访问.
有关如何启用未授权访问的详细信息,请参见第C.
10.
1.
1节"如何对反射服务启用未授权访问".
授权访问-用户必须进行验证才能访问反射服务.
有关如何启用授权访问的详细信息,请参见第C.
10.
1.
2节"如何对反射服务启用授权访问".
C.
10.
1.
1如何对反射服务启用未授权访问1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
对反射服务启用未授权访问.
#/opt/SUNWsgdg/bin/gatewayconfigenable--services-reflection3.
(可选)更改反射服务使用的接口.
启用反射服务51小心默认情况下,仅可以从SGDGateway主机对反射服务进行未经验证的访问.
在其他接口上启用未经验证的访问可能会带来安全风险.
对反射服务进行未授权访问的默认接口为localhost回送接口.
以下示例显示了如何在所有接口上启用未授权访问:#/opt/SUNWsgdg/bin/gatewayconfigedit\--services-reflection-binding*:814.
(可选)更改反射服务使用的端口.
对反射服务进行未授权访问的默认端口为TCP端口81.
您可以将此端口更改为其他未使用的端口,如下所示:#/opt/SUNWsgdg/bin/gatewayconfigedit\--services-reflection-bindinglocalhost:portnum其中,portnum是反射服务使用的端口号.
5.
重新启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewayrestart6.
访问反射服务.
在SGDGateway主机上,可以启动浏览器并转至http://localhost:81.
此时将显示反射服务的主页.
C.
10.
1.
2如何对反射服务启用授权访问1.
在SGDGateway主机上,以超级用户(root)身份登录.
2.
导出反射服务的证书和私钥.
反射服务的证书和私钥存储在反射服务密钥库中,位于/opt/SUNWsgdg/proxy/etc/keystore.
reflection.
此密钥库是在安装SGDGateway期间自动创建的.
默认情况下,反射服务密钥库包含一个自签名证书和一个密钥对.
a.
导出反射服务的证书.
#/opt/SUNWsgdg/java/default/bin/keytool-exportcert\-aliasserver-name-rfc\-keystore/opt/SUNWsgdg/proxy/etc/keystore.
reflection\-storepass"$(cat/opt/SUNWsgdg/etc/password)"\-fileclient.
pem其中,server-name是反射密钥库中反射服务证书的别名,client.
pem是导出的证书的文件名.
有关如何使用keytool应用程序的详细信息,请参见JDKToolsandUtilities(JDK工具和实用程序)文档.
b.
导出反射服务的私钥.
使用SGDGateway随附的KeyManager应用程序.
#/opt/SUNWsgdg/java/default/bin/java\-jar/opt/SUNWsgdg/proxy/KeyManager.
jarexport\--keyfileclient.
key\--keystore/opt/SUNWsgdg/proxy/etc/keystore.
reflection\--keyaliasalias-name\--keypass"$(cat/opt/SUNWsgdg/etc/password)"\使用反射服务52--storepass"$(cat/opt/SUNWsgdg/etc/password)"其中,alias-name是反射密钥库中反射服务密钥的别名,client.
key是导出的密钥的文件名.
3.
在客户端设备上安装证书和私钥.
证书和私钥供客户端设备用来对反射服务进行授权.
要将证书和密钥导入到浏览器证书库中,必须先将证书和密钥转换为PKCS12格式的文件.
例如:#opensslpkcs12-export-inmycert.
crt-inkeymycert_key.
pem-outmycert.
p12此命令将证书文件mycert.
crt和关联的私钥mycert_key.
pem转换为PKCS12格式的证书文件mycert.
p12.
有关如何将PKCS12格式的证书导入到浏览器中的更多详细信息,请参见所用浏览器的联机文档.

4.
对反射服务启用授权访问.
在SGDGateway主机上,运行以下命令:#/opt/SUNWsgdg/bin/gatewayconfigenable--services-reflection-auth5.
(可选)更改反射服务使用的接口和端口.
用于对反射服务进行授权访问的默认绑定为所有接口上的TCP端口82.
您可以将其更改为其他未使用的接口和端口,如下所示:#/opt/SUNWsgdg/bin/gatewayconfigedit\--services-reflection-bindingint:portnum其中,int和portnum分别为反射服务使用的接口和端口号.
6.
重新启动SGDGateway.
#/opt/SUNWsgdg/bin/gatewayrestart7.
使用证书和私钥从客户端设备连接到反射服务.
使用curl命令:$curl--certclient.
pem--keyclient.
key-k-XGEThttps://gateway.
example.
com:82在此示例中,curl命令用于访问反射服务的主页,网址为:https://gateway.
example.
com:82,其中gateway.
example.
com为SGDGateway的名称.
反射服务的证书和私钥分别为client.
pem和client.
key.
使用浏览器:转至https://gateway.
example.
com:82,其中gateway.
example.
com为SGDGateway的名称.
此时将显示反射服务的主页.
C.
10.
2使用反射服务使用客户端应用程序访问反射服务提供的RESTfulWeb服务.
以下列举了一些合适的客户端应用程序:浏览器.
使用浏览器是访问反射服务的最简单方法.
但是,浏览器仅支持HTTPGET请求,因此只能用于访问检索信息的RESTfulWeb服务.
实际上,浏览器适用于显示状态信息和列出路由代理的路由和服务等任务.