安全性


Domino 伺服端認證中心
您可以設定使用伺服器作業 (CA 程序) 的 Domino 發證者,來管理及處理憑證要求。CA 程序以自動化的程序,在用於發出憑證的 Domino 伺服器上執行。當您設定 Notes 或網際網路發證者時,為了利用 CA 程序活動,您可以將發證者連結到伺服器上的 CA 程序。僅 CA 程序的一個實例可以在伺服器上執行;不過,可以將該程序連結到多個發證者。

您可以設定 Notes 及網際網路發證者以使用 CA 程序。

請考慮使用 CA 程序,因為它:


若要從 Domino 控制台管理 CA 程序,您可以使用一組伺服器 Tell 指令。

已發出的憑證清單 (ICL)

每一個發證者都有「已發出的憑證清單 (ICL)」,該清單是在建立發證者或將其移轉到 CA 程序時建立的。ICL 是儲存它已發出之每個未到期憑證副本、憑證革新清單以及 CA 配置文件的資料庫。配置文件是在建立發證者並使用發證者的公開金鑰簽認它時產生的。建立這些文件之後,就無法編輯它們。

CA 配置文件包括:


另一個 CA 配置文件 (即「發證者」文件) 是在設定發證者時於「Domino 名錄」中建立的。您可以修改此文件。

如需相關資訊,請參閱主題修改發證者。

憑證革新清單 (CRL)

CRL 是時間戳記清單,可識別已取消的網際網路憑證 -- 例如,屬於離職員工的憑證。CA 程序會發出及維護每一個網際網路發證者的 CRL。CRL 與發證者相關,由該發證者簽認,位於發證者的 ICL 資料庫中。CRL 的副本亦儲存在「Domino 名錄」中,需要憑證鑑定的實體使用它來宣告憑證的有效性。想要檢查 CRL 的使用者會藉由開啟 CA 的憑證文件,來存取「Domino 名錄」中的 CRL。

您會在建立新網際網路發證者時配置 CRL。您可以指定 CRL 有效的時間長度及發行新 CRL 之間的間隔。配置 CRL 之後,發證者將定期發出它們並進行無人式作業。

使用 CRL,您可以管理組織中發出的憑證。如果憑證的主旨離開組織或者金鑰已被洩漏,您就可以輕鬆地取消憑證。HTTP 伺服器及 Web 瀏覽器會檢查 CRL,以判定是否已取消給定的憑證,因此不再受發證者信任。當您使用「網際網路站台」文件在 Domino 上配置網際網路通訊協定時,亦可以為每個通訊協定啟動 CRL 檢查。

有兩種類型的 CRL:一般及非一般。對於一般 CRL,配置持續時間間隔 (CRL 有效的時段) 以及發出新 CRL 的間隔。每個發證者都在指定的時間內發出 CRL,即使自發出上一個 CRL 以後沒有取消任何憑證也一樣。這表示如果管理員取消憑證,憑證會出現在發證者發出之下一個排定的 CRL 中。CRL 持續時段應大於發出每個 CRL 之間的時段。這會確保 CRL 仍然有效。否則,CRL 會在發出新 CRL 之前到期。

然而,萬一重要安全性岔斷時 (例如,如果管理員需要取消特別強大的憑證或者洩漏發證者憑證),您可以手動發出非一般 CRL (即未排定的 CRL) 來強制執行緊急取消。此類型的取消不會影響時間,亦不會影響下一個排定 CRL 的內容。您可以使用 Tell 指令來發出非一般 CRL。

如需取消憑證的相關資訊,請參閱主題取消憑證。

如需啟動「網際網路站台」文件之 CRL 檢查的相關資訊,請參閱主題設定網際網路站台文件的安全性。

如需配置一般 CRL 的相關資訊,請參閱為伺服器型 CA 建立發證者。

如需發出未排定 CRL 的相關資訊,請參閱主題認證中心程序 tell 指令。

另請參閱