Lotus Domino Administrator 6.5.1 帮助 - 对 Internet 客户机验证字签名并将其添加到 Domino 目录中

安全性

对 Internet 客户机验证字签名并将其添加到 Domino 目录中
CA 对 Internet 客户机验证字签名时，将向其中添加数字签名，并将公用密钥添加到 Domino 目录中（如果使用 Domino CA）。如果使用的是第三方 CA，则还必须执行额外的操作，以便将公用密钥添加到 Domino 目录中。

如果使用的是 Notes 客户机，并且 CA 已将验证字发布到 Domino 目录的“个人”文档中，则无需执行这些操作。当服务器对用户进行身份验证时，Notes 会自动将存储在“个人”文档中的 Internet 验证字添加到 Notes 标识符文件中。

签名以及向 Domino 目录中添加 Internet 客户机验证字的步骤取决于发布验证字的 CA 是基于 Domino 服务器的 CA、Domino 5 CA 还是第三方 CA。

在批准将客户机验证字用于签名之前：

确保您了解组织在验证字签名方面的策略。如果验证字请求符合组织的安全性策略，则为客户机的客户机验证字签名。
确保在服务器上设置了管理进程。如果要对 Internet 客户机的验证字签名，应确保您已创建了“个人”文档。

有关管理进程的详细信息，请参阅设置管理进程。

有关为 Internet 客户机创建“个人”文档的详细信息，请参阅为使用 SSL 客户机验证的 Internet 客户设置“个人”文档。

基于 Domino 服务器的验证字认证中心

这些步骤由 Domino CA 完成。您必须是注册机构 (RA) 才能批准将客户机验证字用于签名。

1. 从 Domino Adminstrator 中，单击“文件”，然后打开“Domino 验证字请求”应用程序。

2. 将验证字请求传送到“管理请求”数据库。

在“验证字请求”数据库中，打开“Pending/Submitted Requests”视图。如果视图中未显示客户机请求，则按 F9 刷新视图。
如果视图显示该请求已被提交给管理进程，请执行下一步。如果请求仍处于挂起状态，请突出显示该请求并单击“Submit Selected Requests”。
将会出现一条消息，说明已成功地将 1 个请求提交到管理进程。单击“确定”。

3. 批准或拒绝该请求。

打开“管理请求”数据库 (ADMIN4.NSF)，再打开“Certification Authority Requests/Certificate Requests”视图，然后查找新的客户机请求。
打开请求并检验其中的信息。
单击“Edit Request”，然后单击“Approve Request”或“Reject Request”。按 F9 并确保请求状态从“New”更改为“Approved”（或“Rejected”）。

4. 将验证字请求从“管理请求”数据库中发送出去。

关闭“管理请求”数据库，返回“验证字请求”数据库。
打开“Issued/Rejected Certificates”视图，并查找客户机请求（可能需要刷新视图）。

5. 通知请求客户机验证字的用户。

如果启用了客户机请求完成后通过电子邮件进行确认的选项，则请求一旦完成，CA 即自动通知请求者提取验证字。如果请求被拒绝，将向请求者发送电子邮件，说明请求被拒绝。
如果未启用在客户机请求完成后通过电子邮件进行确认的选项，则需单击“Send Confirmation Mail”通知请求者处理结果。

注意如果配置“验证字请求”数据库自动处理请求，则该数据库会自动将客户机请求发送到“管理请求”数据库。注册机构只负责批准或拒绝请求。

Domino 5 验证字认证中心

Internet 验证字请求显示在“Domino 验证字认证中心”应用程序的“Client Certificate Requests”视图中。CA 可以在签署验证字时自动向客户机发送电子邮件，以说明在何处提取验证字，并包括一个提取标识符。客户机在提取过程中必须使用此标识符来识别验证字。Domino 自动生成提取标识符。

注意以下步骤适用于签署由 Domino CA 发布的客户机验证字。这些步骤由 Domino CA 完成。

1. 从 Domino Administrator 中，单击“文件”，然后打开 Domino 验证字认证中心应用程序。

2. 单击左侧窗格中的“Client Certificate Requests”。

3. 打开要签名的请求。

4. 查看用户信息和专有名称。确保所提供的信息符合您公司的安全性策略。

5. 保留“Register certificate in the Domino Directory”选项的选中状态，以便将客户机的公用密钥自动添加到“个人”文档中。

如果要拒绝请求，请完成步骤 6，否则，请转至步骤 7。

6. 拒绝请求：

输入拒绝请求的原因。
如果不希望向此人发送电子邮件，请取消选中“向请求者发送电子邮件通知”。否则，“Domino 验证字认证中心”应用程序将向此人发送电子邮件，以说明请求被拒绝以及拒绝的原因。
单击“拒绝”。

7. 批准请求：

输入有效期。对于短期项目，通常为 90 天；对于长期的项目，可以输入几年。
如果不希望向客户机发送电子邮件通知其现在可以提取验证字，请取消选中“向请求者发送电子邮件通知”。否则，“Domino 验证字认证中心”应用程序将发送包含 URL 的电子邮件，以说明提取验证字的位置。
单击“Approve”，然后输入 CA 密钥集文件的口令。此操作会将请求放入“管理请求”数据库中。管理进程在下一次运行时，会处理请求并将验证字添加到 Domino 目录的“个人”文档中。

注意

在管理进程完成请求之前，客户机不能使用该验证字通过数据库 ACL 的验证。

第三方 CA

如果用户使用 Notes 客户机向第三方 CA 获取 Internet 验证字，验证字将自动添加到用户的“个人”文档中。

如果用户通过浏览器向第三方 CA 获取 Internet 验证字，之后必须将验证字添加到自己的“个人”文档中。

有关详细信息，请参阅在“个人”记录中发布第三方 CA 客户机验证字。

另请参阅

设置 Notes 客户机和 Internet 客户机以便进行 SSL 客户机验证

为 Notes S/MIME 客户机创建 Internet 验证字

设置管理进程

术语表

帮助反馈

如何使用帮助

打开整个帮助窗口

术语表

帮助反馈

如何使用帮助

打开整个帮助窗口