安全性
Notes 交叉验证
要允许经过不同层次验证的组织中的用户和服务器访问其他组织中的服务器,并验证来自另一组织的用户的数字签名,应使用交叉验证字。Domino 服务器将交叉验证字存储在 Domino 目录中。要访问 Domino 服务器,Notes 客户机必须获取要访问的那些服务器的交叉验证字并将它们存储在个人通讯录中。交叉验证字应首先发布给用户,然后由用户使用。
例如,如果 Alan Jones/Sales/East/Acme 要访问 Support/Seascape 服务器,他需要 /Seascape 的交叉验证字,而 Support/Seascape 服务器需要 /Sales/East/Acme 的交叉验证字。当 Alan 试图通过 Support/Seascape 服务器的验证时,该服务器会检查 Alan 个人通讯录中的交叉验证字。如果找到了有效的交叉验证字,将继续检查 Alan 是否被允许访问此服务器。
交叉验证可以在组织中的各个级别进行。例如,要允许某个组织中的每个用户通过另一个组织中的每台服务器的验证,则每个用户的个人通讯录中都应拥有该组织的组织验证者的交叉验证字。每个组织的服务器的 Domino 目录中都拥有该组织的组织验证者的交叉验证字。交叉验证还可发生在单个用户或服务器标识符级别。例如,要允许单个用户通过另一个组织单元中的所有服务器的验证,或验证该组织单元中的用户的数字签名,则该用户标识符需要位于另一公司中的该组织单元验证者的交叉验证字,并且该组织单元验证者也需要此用户标识符的交叉验证字。
双向交叉验证不必对称。例如,一个组织可拥有某个组织单元验证者的交叉验证字,而另一个组织可拥有某个组织验证者的交叉验证字。
如果您拥有某个组织或组织单元验证者的交叉验证字,应设置服务器访问限制,以防止该组织访问存储机密信息的特定服务器。要允许您的组织访问其他组织中的服务器,但禁止该组织访问您的服务器,应按照需要交换交叉验证字,然后在所有服务器上设置服务器存取控制列表以防止来自该组织的访问。
Internet 交叉验证
Internet 交叉验证字是验证用户或服务器标身份的验证字。Internet 交叉验证字可以使加密 S/MIME 邮件的收件人确保发件人的验证字是可信的,并且签署 S/MIME 邮件的验证字有效。当 Notes 客户机使用 SSL 访问 Internet 服务器时,它还将验证服务器的身份。
Internet 交叉验证字存储在用户个人通讯录的“验证字”文档中,只能由持有它的用户使用。Internet 交叉验证字可以发布给子验证字(即由 CA 发布给用户或服务器的验证字)或 CA 本身。为子验证字创建交叉验证字表示只信任验证字的所有者,例如,签名邮件的发件人或加密邮件的收件人。CA 的交叉验证字表示信任 CA 所发布的验证字的所有持有者。如果对 CA 进行了交叉验证,则意味着信任此 CA 将验证字发布给层次名称树中级别较低的用户和服务器。例如,对 Sales/ABC 进行了交叉验证后,将信任 Sales/ABC 将验证字发布给 Fred/Sales/ABC。或者,对 Fred/Sales/ABC 创建了交叉验证字后,将只信任 Fred/Sales/ABC。
Example
另请参阅