验证者还可以发布信任根验证字，以便允许那些持有由不同 CA 创建的验证字的客户机和服务器相互通信。

注意 区分 Notes 验证者和 Internet 验证者是十分重要的。当您在网络域中安装并设置第一台 Domino 服务器时，系统会自动设置 Notes 验证者以便向 Notes 客户机发布 Notes 验证字。这些验证字对 Notes 客户机的 Domino 服务器验证以及 Domino 服务器的相互验证是必不可少的。因此即使在纯粹的 Web 客户机环境中，Notes 验证者也是很重要的。Internet 验证者（如上文所述）发布 Internet (X.509) 验证字，用以保护 Internet 上的通信安全。您应根据需要设置 Internet 验证者。

为组织选择正确的 Internet 验证者

设置组织的 Internet 验证者有多种选项（在本主题的余下部分，提到的所有“验证者”均指“Internet 验证者”）。可使用第三方商业验证者（如 VeriSign），也可使用两种 Domino Internet 验证者类型的其中一种。这些验证者各有利弊；因此应根据组织的业务需求以及管理验证者可用的时间和资源进行选择。

Internet 验证者：Domino 验证者与第三方验证者的比较

Domino 验证者	避免了第三方验证者在发布和更新客户机以及服务器验证字方面所需要的费用。 许多管理员已经熟悉 Domino 验证者的使用，因此与使用第三方验证者相比，不需要进行其他培训。 可根据需要更加方便快捷地设置和部署新的验证字。
第三方验证者（VeriSign、RSA 等）	可简化客户机配置。如果从所使用的浏览器预先设置为“可信”的验证者处获取验证字，可简化客户机配置的步骤。 同样，如果使用的验证者在外部业务的邮件客户机（您与其交换 S/MIME 邮件）中预先配置为“可信”，也可简化配置步骤。

Domino Internet 验证者：基于服务器的验证字认证中心与 Domino 5 验证字认证中心的比较
您可选择设置使用基于服务器的 CA 进程的 Domino 验证字认证中心，还是设置使用 CA 密钥集的 Domino 5 验证字认证中心。

基于服务器的验证字认证中心	管理员可通过 CA 进程管理 Notes 验证者和 Internet 验证者。 发布符合安全性行业标准（如 X.509v3 和 PKIX）的 Internet 验证字。 无需管理员访问验证者标识符和标识符口令即可注册用户和服务器。如果使用该认证中心，则管理员可委派这些任务而不会对验证者造成任何潜在的危害。 支持 PKIX RA（注册机构）角色，因此允许管理员委派验证字批准/拒绝进程。 发布 CRL（验证字吊销列表），该列表包含有关已吊销或到期的 Internet 验证字的信息。 如果您计划使用 Web Administrator 客户机注册 Notes 用户，则必须使用该认证中心。
Domino 5 验证字认证中心	为设置用于测试或演示目的的 Internet 验证者提供了一种简便的方法。

在网络域中同时使用两种类型的 Domino Internet CA

在网络域中同时使用两种类型的验证者（CA 进程和 CA 密钥集）是可行的。但是，应务必小心不要由既使用密钥集又使用 CA 进程的一个验证者发布 Internet 验证字。启用 CA 进程的验证者会在“发布的验证字列表”（网络域中的所有服务器均可访问的数据库）中跟踪其发布的验证字。另一方面，密钥集样式的验证者会在使用它的所有工作站上创建日志，因此不存在已发布的验证字的中心列表（而仅有多个部分列表）。因此，CA 密钥集无法识别使用 CA 进程发布的任何验证字，同样，CA 进程也无法识别使用 CA 密钥集创建的任何验证字。

对于 Internet 验证者而言此问题更加突出，这是因为在基于服务器的验证字认证中心中可能会吊销 Internet 验证字。但是，要吊销 Internet 验证字，必须在 ICL 将其选定。如果验证字最初是使用密钥集发布的，那么它将不会显示在 ICL 中，因此无法吊销该验证字。

因此，我们强烈建议您为每个验证者选择一种操作方式，即要么选择 CA 进程，要么选择 CA 密钥集。

另请参阅

基于 Domino 服务器的验证字认证中心
Domino 安全性概述
SSL 安全性