安全性

建立伺服器金鑰組檔
從 CA 申請憑證之前,必須先建立金鑰組檔以儲存憑證。金鑰組檔為密碼保護的二進位檔,儲存在伺服器的硬碟中。建立伺服器金鑰組檔 (.KYR) 時,Domino 會產生一個未簽認的伺服器憑證,並且自動包含數個信任的根憑證。未簽認的伺服器憑證在發證者簽認前無效。Domino 也會建立一個與金鑰組檔相同名稱的藏匿檔案 (.STH),但副檔名為 .STH。Domino 會使用匿藏檔案來儲存金鑰組檔密碼,以供對伺服器金鑰組檔的無人式使用權。

每個伺服器憑證皆包含 SSL 連線所使用的辨識名稱。建立伺服器金鑰組檔時,設定此辨識名稱。雖然可選擇性地設定若干辨識名稱的元件,但若包含的元件愈多,則在網際網路他處遇到相同名稱的可能性就愈小。

附註 若是向伺服器化的認證中心申請伺服器憑證,可使用 Notes 用戶端,在「憑證申請」資料庫建立伺服器金鑰組及申請伺服器憑證。

若需相關資訊,請參閱主題申請 SSL 伺服器憑證。

建立伺服器金鑰組檔

1. 設定「伺服器憑證管理」應用程式。

2. 從 Notes 用戶端,開啟您要啟用 SSL 之伺服器上的「伺服器憑證管理」應用程式。

3. 按一下「建立金鑰組」。

4. 完成下列欄位:
欄位動作
金鑰組檔案名稱輸入金鑰組檔案名稱。預設為 KEYFILE.KYR。 使用 .KYR 副檔名有助於使金鑰組檔名一致。

附註 伺服器的金鑰組檔案名稱會顯示在已配置的任一「網際網路站台」文件中,或者如果沒有使用「網際網路站台」文件,則顯示在「伺服器」文件的 [通訊埠][網際網路通訊埠] 索引標籤上。如果指定與預設相異的名稱,則必須在名稱出現之處 (「網際網路站台」文件或「伺服器」文件中) 編輯名稱。

金鑰組密碼輸入金鑰組的密碼。
金鑰大小在建立公開及專用金鑰配對時,指定 Domino 使用的金鑰大小。金鑰愈大,加密功能就愈強。
一般名稱輸入伺服器的 TCP/IP 完整網域名稱,如 www.acme.com。

由於若干瀏覽器會在接受連線前檢查一般名稱與主機名稱是否相符,因此請設定伺服器的憑證,使一般名稱符合主機名稱。

組織輸入組織名稱,例如,公司名稱 (如 Acme)。
組織單位(選擇性) 輸入發證者的組名稱或部門名稱。
城市或區域(選擇性) 輸入組織的城市或區域。
州或省輸入發證者組織所在州或省的完整名稱。
國家輸入組織所在國家的兩字母縮寫
5. 按一下「建立金鑰組」。

6. 讀取金鑰組檔及階層性名稱的相關資訊後,請按一下「確定」。Notes 會建立金鑰組檔以及藏匿檔 (.STH),並將其置於建立金鑰組的用戶端機器之 Notes data 目錄。

7. 將金鑰組檔以及藏匿檔 (.STH) 複製到伺服器的 Domino data 目錄中。


8. 申請 SSL 伺服器憑證。

另請參閱