安全性


設定網際網路認證中心
安全性計劃中的重要區域,決定是否及如何設定認證中心以發出網際網路憑證。認證中心 (CA) 或發證者是發出及維護數位憑證的信任管理工具。憑證會驗證個人、伺服器或組織的身份,並允許它們使用 SSL 來通訊,及使用 S/MIME 來交換郵件。憑證由發證者的數位簽名來籤記,這會向憑證的收件人保證憑證的擁有者是憑證中命名的實體。

憑證亦會發出信任根憑證,這會讓具有不同 CA 建立之憑證的用戶端及伺服器相互通訊。

附註 區分 Notes 發證者與網際網路發證者非常重要。當您在網域中安裝並設定第一個 Domino 伺服器時,會自動設定 Notes 發證者以向 Notes 用戶發出 Notes 憑證。這些憑證對於 Notes 用戶端透過 Domino 伺服器進行鑑定,或對於 Domino 伺服器之間進行相互鑑定十分重要。因此,即使在具有所有 Web 用戶端的環境中,Notes 發證者亦很重要。網際網路發證者 (如此處所說明) 會發出網際網路 (X.509) 憑證,這是透過網際網路進行安全通訊所必要的。您可視需要設定網際網路發證者。

為組織選擇正確的網際網路發證者

您有數個選項可用來為組織設定網際網路發證者 (對於本主題的其餘部份,發證者的所有參考表示「網際網路」發證者)。可以使用協力廠商商業發證者 (如 VeriSign),或使用 Domino 網際網路發證者之兩個類型中的一個。每種類型的發證者都有其優點與缺點;您所作出的選擇應由組織的業務需求,及管理發證者所使用的時間與資源來決定。

網際網路發證者:Domino 及協力廠商
Domino 發證者
  • 可避免協力廠商發證者對發出及更新用戶端與伺服器憑證酌收的費用。
  • 許多管理員已很熟悉 Domino,他們無需使用協力廠商發證者所需要的額外訓練。
  • 視需要,更簡易更快速地設定及部署新的憑證。
協力廠商發證者 (VeriSign、RSA 等)
  • 可簡化用戶端配置。如果您從所使用的瀏覽器預先配置為信任的發證者取得憑證,則其會在用戶端配置中儲存步驟。
  • 同樣地,如果發證者在您與其交換 S/MIME 郵件之外部業務的郵件用戶端被預先配置為信任,則它將為這些用戶端儲存配置步驟。

Domino 網際網路發證者:伺服器端認證中心及 Domino 5 認證中心
您可以選擇設定使用伺服器端 CA 處理的 Domino 認證中心,或使用 CA 金鑰組的 Domino 5 認證中心
伺服器端認證中心
  • 管理員可透過 CA 處理來管理 Notes 及網際網路發證者。
  • 發出與安全性工業標準 (如 X.509v3 及 PKIX) 相容的網際網路憑證。
  • 無需發證者 ID 及 ID 密碼的管理員使用權,即可註冊使用者及伺服器。這可讓管理員委派這些工作,而不會潛在地威脅發證者。
  • 支援 PKIX 註冊管理中心 (RA) 角色,這可讓管理員委派憑證核准/拒絕處理。
  • 發出憑證革新清單 (CRL),該清單包含已取消或已到期之網際網路憑證的資訊。
  • 在您計劃使用「Web 管理員」用戶端來註冊 Notes 使用者時需要。
Domino 5 認證中心
  • 提供設定網際網路發證者來進行測試或簡介的簡單方法。

在網域中使用兩種類型的 Domino 網際網路 CA

網域中可能有兩種類型的發證者:CA 處理及 CA 金鑰組。不過,您必須注意不能讓既使用金鑰組又使用 CA 處理的發證者發出網際網路憑證。啟用 CA 處理的發證者,會追蹤在「已發出的憑證清單」(可存取網域中所有伺服器的資料庫) 中發出的憑證。另一方面,金鑰組樣式發證者會建立在任何一個工作站上所使用的日誌,因此沒有已發出憑證的集中式清單 (僅有多個部份清單)。所以,CA 金鑰組將不會辨識使用 CA 處理而發出的任何憑證,與如同 CA 處理不會辨識使用 CA 金鑰環檔所建立的任何憑證一樣。

這特別是對於網際網路發證者是個問題,因為可能會取消伺服器端認證中心的網際網路憑證。不過,若要取消網際網路憑證,您必須在 ICL 中選取它。如果使用金鑰組來起始發出憑證,則它將不會出現在 ICL 中,因此無法取消它。

所以,強烈建議您選擇一種方法,為每個發證者執行 CA 處理或 CA 金鑰組。

另請參閱