安全性

创建服务器密钥集文件
在向 CA 申请验证字之前,必须创建密钥集文件以存储验证字。密钥集文件是一个受口令保护的、存储在服务器硬盘驱动器上的二进制文件。创建服务器密钥集文件 (.KYR) 时,Domino 会生成一个未签名的服务器验证字,其中自动包括几个信任根验证字。在验证者对服务器验证字签名之前,该验证字无效。Domino 还创建一个隐藏文件 (.STH),其文件名与密钥集文件相同,但扩展名为 .STH。Domino 使用隐藏文件存储密钥集文件口令,用于在无人值守的情况下访问服务器密钥集文件。

每个服务器验证字均包含一个用于 SSL 连接的专有名称。此专有名称是在创建服务器密钥集文件时设置的。专有名称的某些组件是可选的。但是,包含的组件越多,在 Internet 上的其他地方遇到相同名称的机会越小。

注意 如果向基于服务器的验证字认证中心申请服务器验证字,则可以使用 Notes 客户机创建服务器密钥集文件,并申请“验证字请求”数据库中的服务器验证字。

有关详细信息,请参阅申请 SSL 服务器验证字主题。

创建服务器密钥集文件

1. 设置服务器验证字管理应用程序

2. 从 Notes 客户机上,打开要对其启用 SSL 的服务器上的服务器验证字管理应用程序。

3. 单击“Create Key Ring”。

4. 填写下列域:
操作
Key Ring File Name输入密钥集文件名。缺省为 KEYFILE.KYR。使用扩展名 .KYR 有助于保持密钥集文件名的一致性。

注意 服务器的密钥集文件名将出现在已配置的所有“Internet 站点”文档中。如果未使用“Internet 站点”文档,则显示在“服务器”文档的“端口”“Internet 端口”附签上。如果未使用缺省名称,则需要在“Internet 站点”文档或“服务器”文档中进行相应的编辑。

Key Ring Password输入密钥集口令。
Key Size指定 Domino 在创建公用和私有密钥对时所使用的密钥大小。密钥越大,加密强度越高。
公用名称输入服务器的 TCP/IP 完全限定的网络域名称,如 www.acme.com。

由于有些浏览器在允许连接之前要检查公用名称与主机名是否匹配,因此应设置服务器验证字使之匹配。

公司输入组织的名称,如公司名称 Acme。
组织单元(可选)输入验证者所在分部或部门的名称。
City or Locality(可选)输入组织所在的城市。
State or Province输入验证者组织所在的省、自治区或直辖市的完整名称。
Country输入组织所在的国家的名称缩写(两个字符)。
5. 单击“Create Key Ring”。

6. 阅读有关密钥集文件和专有名称的相关信息,然后单击“OK”。Notes 创建密钥集文件和隐藏 (.STH) 文件,并将它们存放在用于创建密钥集的客户机的 Notes 数据目录下。

7. 将密钥集文件和隐藏文件 (.STH) 拷贝到服务器的 Domino 数据目录下。


8. 申请 SSL 服务器验证字

另请参阅