安全性

基于 Domino 服务器的验证字认证中心
可以设置使用服务器的“CA 进程”任务的 Domino 验证者,以便管理和处理验证字请求。CA 进程是在 Domino 服务器上自动运行的进程,用于发布验证字。设置了 Notes 或 Internet 验证者后,应将其链接到服务器上的 CA 进程,以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上,但是此进程可以链接到多个验证者。

可以设置 Notes 和 Internet 验证者使用 CA 进程。

考虑使用 CA 进程是因为它可以:


要从 Domino 控制台管理 CA 进程,请使用服务器的 Tell 命令组。

ICL(已发布的验证字列表)

每个验证者都有一个 ICL(已发布的验证字列表)该列表是在验证者最初创建或迁移到 CA 进程时创建的。ICL 是一个数据库,其中存储验证者已发布的每个未到期验证字的拷贝、验证字吊销列表以及 CA 配置文档。配置文档是在创建验证者并使用验证者的公用密钥对其进行签名时生成的。这些文档一旦创建便不可以再编辑。

CA 配置文档包括:


另一个 CA 配置文档(“验证者”文档)在您设置验证者时在 Domino 目录中创建。此文档可以修改。

有关详细信息,请参阅修改验证者主题

CRL(验证字吊销列表)

CRL 是一个带时间标记的列表,用以标识已吊销的 Internet 验证字,如属于已离开的员工的验证字。CA 进程发布并维护每个 Internet 验证者的 CRL。CRL 与验证者关联,由验证者签名,并驻留在验证者的 ICL 数据库中。Domino 目录中还存储 CRL 的复本,以便按要求验证字验证的实体评估验证字的有效性。希望检查 CRL 用户可以通过打开 CA 的验证者文档在 Domino 目录中访问该 CRL。

创建新的 Internet 验证者时应配置 CRL。您可以指定 CRL 的有效期长度,以及发布新的 CRL 的时间间隔。CRL 配置好后,由验证者定期发布,并且在无人值守的情况下运行。

使用 CRL 可以管理组织中已发布的验证字,并且可以轻松地吊销主体已离开组织或密钥被泄露的验证字。HTTP 服务器和 Web 浏览器会检查 CRL,以确定给定的验证字是否已吊销,以及是否因此而不再受验证者信任。使用“Internet 站点”文档在 Domino 上配置 Internet 协议时,也可以对每个协议启用 CRL 检查。

CRL 有定期和非定期两种对于定期 CRL,应配置持续时间间隔(CRL 保持有效的时间段)以及发布新 CRL 的时间间隔。每个验证者都在指定的时间发布 CRL,即使自从上一个 CRL 发布以来尚未吊销验证字。也就是说,如果管理员吊销了某个验证字,该验证字会出现在验证者按计划发布的下一个 CRL 中。CRL 持续时间段应大于两次 CRL 发布之间的时间段。这样可确保 CRL 保持有效。否则,CRL 可能在发布新的 CRL 之前就到期。

但是,在出现重大安全中断事件时(例如,管理员需要吊销某个功能特别强大的验证字或者已泄露的验证者验证字),可以手动发布非定期的 CRL(即非预定的 CRL)以强制进行紧急吊销。这种吊销既不会影响下一个预定 CRL 的时间设置,也不会影响其内容。应使用 Tell 命令发布非定期 CRL。

有关吊销验证字的详细信息,请参阅吊销验证字主题。

有关对“Internet 站点”文档启用 CRL 检查的详细信息,请参阅设置“Internet 站点”文档的安全性主题。

有关配置定期 CRL 的详细信息,请参阅为基于服务器的 CA 创建验证者主题。

有关发布非预定 CRL 的详细信息,请参阅验证字认证中心进程 tell 命令主题。

另请参阅