安全性

为基于服务器的 CA 创建验证者
可以为组织创建其他 Notes 和 Internet 验证者,并配置其使用 CA 进程。

创建 Notes 验证者

1. 注册其他组织验证者组织单元验证者。

2. 将验证者迁移到 CA 进程

创建 Internet 验证者

您可以创建一个或多个 Internet 验证者,以发布服务器或客户机 Internet 验证字。

1. 从 Domino Administrator 中,单击“配置”。

2. 在“工具”窗格中,选择“注册”“Internet 验证者”。

3. 在“注册 Internet 验证者”对话框中,选择“我希望注册使用 CA 进程的新 Internet 验证者”。

4. 在“注册新的 Internet 验证者”对话框中,单击“基本”。

5. 创建验证者名称。应指定一个公用名称以及至少一个附加组件。

6. 选择存储验证者的服务器。

7. (可选)修改缺省的 ICL 数据库名称(如“icl\icl_Acme.nsf”)。


8. 对于“验证者标识符加密方法”,请选择下列选项之一:
选项安全级别所需口令所需操作
使用服务器标识符加密标识符最低
使用服务器标识符加密标识符中等服务器标识符口令如果选择使用服务器标识符和口令加密验证者标识符,需要激活该验证者。应使用以下 tell 命令:

tell ca activate <password>

使用锁定标识符加密标识符最高注册用户标识符和口令如果选择使用锁定标识符加密验证者标识符,则应在创建验证者后将其锁定。应使用以下 tell 命令:

tell ca unlock <idfile><password>


9. (可选)在“管理员”列表中,输入其他 CAA 和 RA 的名称。创建 CA 的管理员的名称会同时作为 CA 管理员和 RA 管理员自动包括在列表中。

有关验证字认证中心管理员和注册机构的详细信息,请参阅管理 Domino CA 主题。

10. 在“验证字”附签中,完成下列域:
操作
包括 CRL 分发点扩展启用标识服务器上验证者 CRL 的分发点的属性,该服务器是指您在“使用服务器”列表中选定的服务器。建议使用此选项,从而可以在发布验证字后再将其吊销。缺省为启用。
回溯验证字有效性验证字有效期是 CA 保证保留验证字状态的相关信息的时间间隔。如果验证字的生效日期与其创建日期不同,则可以选择回溯该验证字的有效期。此选项缺省启用。不可输入日期。
验证字持续时间输入缺省、最小和最大验证字持续时间(月)。
密钥使用情况选择此验证字的密钥用法扩展
注意 仅可创建的验证字类型为最终实体验证字,该选项缺省启用。这意味着由此验证者发布的 Internet 验证字适用于验证字用户和/或作为验证字主体的最终用户系统。

11. 单击“其他”,然后单击“创建验证者标识符的本地拷贝”。指定验证者标识符文件名和口令,然后单击“确定”。将会有验证者标识符的一个拷贝保存到缺省路径 ...\notes\data\ids\certs\cert.id 下。可以选择其他的路径。如果验证者损坏,可以将验证者标识符的此本地拷贝作为备份重新创建该验证者。

12. 完成下列域,以便为此验证者指定验证字吊销列表信息。
操作
CRL 持续时间(天)输入指定 CRL 保持有效的时间长度(天)。建议此时间段应大于两次 CRL 发布之间的时间段,以确保 CRL 始终有效。
CRL 之间的时间(天)输入两次 CRL 发布之间的时间间隔(天)。
13. 完成下列域,以便为此验证者指定密钥和验证者验证字信息。
操作
签名算法选择用于对验证字的签名进行加密的算法。
密钥长度输入用于加密的密钥长度。此设置决定了要能够表示编码密钥的任意可能值所需要的位数。密钥长度越长,就越难对已加密的文本进行解密。
验证字的到期日期(可选)更改验证字的缺省到期日期。
14. 完成下列域,以便为此验证者指定验证者 PKIX 等价名信息。


15. 单击“确定”。将出现一条消息说明已成功设置 CA。

16. 要创建定制的 Web 服务器消息,请执行下列操作:

另请参阅