Lotus Domino Administrator 6.5.1 說明 - 設定網際網路站台文件的安全性

安裝

設定網際網路站台文件的安全性
為設定「網際網路站台」文件的安全性，可啟動 SSL 伺服器及用戶端的鑑定、名稱及密碼的鑑定，或匿名使用網際網路及 Intranet 用戶端。

為啟動「網際網路站台」使用 SSL，必須在「伺服器」文件配置 SSL 通訊埠，並向網際網路認證中心取得伺服器憑證及金鑰環，以在伺服器上設定 SSL。

若要設定 SSL 鑑定，必須為每份「網際網路站台」文件建立伺服器的金鑰環檔。不過，如果「網際網路站台」文件屬於同一組織，但是為不同的通訊協定所建立，則可使用單一的伺服器金鑰環檔。請確定在每份站台文件的「安全性」標籤的適當欄位，輸入伺服器的金鑰環檔名。

若想要使用「憑證革新清單 (CRL)」進行網際網路憑證鑑定，伺服器必須使用核發網際網路憑證的 Domino 伺服器認證中心。

若要啟動主控組織的 SSL，在「網際網路站台」文件中，「基礎」標籤的「對映至此站台的主機名稱或位址」欄位，必須使用伺服器 IP 位址。

附註對於網站，伺服器金鑰環上的共同名稱必須符合「網站」文件中，IP 位址對映到的 DNS 名稱。IP 位址必須儲存在「網站」文件的「對映至此站台的主機名稱或位址」欄位。如果在「網站」文件中啟動「重新導向 TCP 到 SSL」，則主機名稱及 IP 位址都必須儲存在這個欄位。

完成這些步驟前，應熟悉 SSL 鑑定、名稱及密碼鑑定以及匿名存取。

若需 SSL 鑑定的相關資訊，請參閱主題在 Domino 伺服器上設定 SSL。

若需名稱與密碼鑑定、及匿名使用的相關資訊，請參閱 Internet/intranet 用戶端的名稱及密碼鑑定及匿名 Internet/intranet 存取。

設定網際網路站台文件的安全性

附註 Domino 6 中，在「網際網路站台」文件的所有鑑定選項都選取「否」，可有效禁止存取「網際網路站台」。這些選項包括 TCP 鑑定、SSL 鑑定及 TCP 匿名使用。

1. 從「Domino 管理員」，按一下 [配置][Web][網際網路站台]。

2. 選擇您要修改的「網際網路站台」文件，再按一下「編輯文件」。

3. 按一下「安全性」，再完成下列欄位：

欄位輸入

TCP 鑑定

匿名 (套用至所有網際網路站台，但 IMAP 與 POP3 除外)
請選擇其中一項：

是 -- 可容許匿名使用此站台
否 -- 禁止匿名使用

名稱和密碼請選擇其中一項：

是 -- 要求使用者以使用者名稱及網際網路密碼接受鑑定之後存取站台
否 -- 不需要名稱及密碼的鑑定。

重新導向 TCP 到 SSL (僅適用於「網站」) 選擇下列其中之一：

是 -- 要求用戶端及伺服器使用 SSL 通訊協定來存取網站
否 -- 容許用戶端及伺服器使用 SSL 或 TCP/IP 來存取網站

SSL 鑑定

匿名 (套用至所有網際網路站台，但 IMAP 與 POP3 除外)
請選擇其中一項：

是 -- 容許使用者未經過名稱及密碼的鑑定，由 SSL 埠存取
否 -- 拒絕使用者匿名存取

名稱和密碼請選擇其中一項：

是 -- 要求使用者以使用者名稱及網際網路密碼接受鑑定之後使用 SSL 存取站台
否 -- 不需要名稱及密碼。

用戶端憑證 (適用於網站、IMAP、POP3 及 LDAP)
請選擇其中一項：

是 -- 需要用戶端憑證方能存取此站台
否 -- 不需要用戶端憑證

SSL 選項

金鑰檔案名稱輸入伺服器金鑰環檔案的名稱。

通訊協定版本請選擇其中一項：

只有 V2.0 -- 僅允許 SSL 2.0 連線
V3.0 交互聯繫 -- 試圖進行 SSL 3.0 連線。若失敗，且申請者偵測到 SSL 2.0，則會使用 SSL 2.0 試圖進行連線。
只有 V3.0 -- 僅允許 SSL 3.0 連線
V3.0 與 V2.0 交互聯繫 -- 可嘗試 SSL 交互聯繫，即顯示相關的錯誤訊息。若可能的話請以 SSL 3.0 連接。
可協商的 (預設值) -- 試圖進行 SSL 3.0 連線。若失敗，則會試圖使用 SSL 2.0。除非出現因通信協定版本不相容所產生的連線問題，否則請使用此設定。

接受 SSL 站台憑證請選擇其中一項：

是 -- 可接受憑證及使用 SSL，即使伺服器並無與通訊協定伺服器共同的憑證
否 (預設值) -- 禁止接受 SSL 站台憑證的存取

接受逾時的 SSL 憑證請選擇其中一項：

是 -- 即使用戶端的憑證已過期，仍允許用戶端存取
否 -- 禁止用戶端使用過期 SSL 憑證存取

檢查 CRL 請選擇其中一項：

是 -- 檢查發證者「憑證革新清單」(CRL) 中您嘗試驗證的使用者憑證。若找到有效的 CRL，使用者憑證位於清單中，即拒絕使用者憑證。
否 -- 不使用「憑證革新清單」。

信任過期 CRL 請選擇其中一項：

是 -- 嘗試驗證使用者憑證時，使用過期但有效的「憑證革新清單」
否 -- 拒絕過期的「憑證革新清單」

允許 CRL 搜尋失敗請選擇其中一項：

是 -- 若找出有效「憑證革新清單」的嘗試失敗，如同「檢查 CRL」設定為「否」一般處理。
否 -- 若找不到使用者憑證的有效「憑證革新清單」，則拒絕憑證。若「信任過期 CRL」設定為「是」，則過期 CRL 仍有效。若「信任過期 CRL」設定為「否」，找不到相符有效 CRL 的每筆使用者憑證鑑定都會失敗。

SSL 安全

SSL ciphers 按一下「修改」來變更此站台文件的 SSL cipher 設定。這些設定僅套用在 SSL v3。SSL v2 cipher 無法變更。

啟動 SSL V2 選擇「是」可啟動此站台文件的 SSL v2。

4. 儲存文件。

另請參閱

「網際網路站台」文件

建立網際網路站台文件

名詞解釋

意見說明？

說明的說明

開啟完整的說明視窗

名詞解釋

意見說明？

說明的說明

開啟完整的說明視窗

欄位	輸入
TCP 鑑定
匿名	(套用至所有網際網路站台，但 IMAP 與 POP3 除外) 請選擇其中一項：是 -- 可容許匿名使用此站台否 -- 禁止匿名使用
名稱和密碼	請選擇其中一項：是 -- 要求使用者以使用者名稱及網際網路密碼接受鑑定之後存取站台否 -- 不需要名稱及密碼的鑑定。
重新導向 TCP 到 SSL	(僅適用於「網站」) 選擇下列其中之一：是 -- 要求用戶端及伺服器使用 SSL 通訊協定來存取網站否 -- 容許用戶端及伺服器使用 SSL 或 TCP/IP 來存取網站
SSL 鑑定
匿名	(套用至所有網際網路站台，但 IMAP 與 POP3 除外) 請選擇其中一項：是 -- 容許使用者未經過名稱及密碼的鑑定，由 SSL 埠存取否 -- 拒絕使用者匿名存取
名稱和密碼	請選擇其中一項：是 -- 要求使用者以使用者名稱及網際網路密碼接受鑑定之後使用 SSL 存取站台否 -- 不需要名稱及密碼。
用戶端憑證	(適用於網站、IMAP、POP3 及 LDAP) 請選擇其中一項：是 -- 需要用戶端憑證方能存取此站台否 -- 不需要用戶端憑證
SSL 選項
金鑰檔案名稱	輸入伺服器金鑰環檔案的名稱。
通訊協定版本	請選擇其中一項：只有 V2.0 -- 僅允許 SSL 2.0 連線 V3.0 交互聯繫 -- 試圖進行 SSL 3.0 連線。若失敗，且申請者偵測到 SSL 2.0，則會使用 SSL 2.0 試圖進行連線。只有 V3.0 -- 僅允許 SSL 3.0 連線 V3.0 與 V2.0 交互聯繫 -- 可嘗試 SSL 交互聯繫，即顯示相關的錯誤訊息。若可能的話請以 SSL 3.0 連接。可協商的 (預設值) -- 試圖進行 SSL 3.0 連線。若失敗，則會試圖使用 SSL 2.0。除非出現因通信協定版本不相容所產生的連線問題，否則請使用此設定。
接受 SSL 站台憑證	請選擇其中一項：是 -- 可接受憑證及使用 SSL，即使伺服器並無與通訊協定伺服器共同的憑證否 (預設值) -- 禁止接受 SSL 站台憑證的存取
接受逾時的 SSL 憑證	請選擇其中一項：是 -- 即使用戶端的憑證已過期，仍允許用戶端存取否 -- 禁止用戶端使用過期 SSL 憑證存取
檢查 CRL	請選擇其中一項：是 -- 檢查發證者「憑證革新清單」(CRL) 中您嘗試驗證的使用者憑證。若找到有效的 CRL，使用者憑證位於清單中，即拒絕使用者憑證。否 -- 不使用「憑證革新清單」。
信任過期 CRL	請選擇其中一項：是 -- 嘗試驗證使用者憑證時，使用過期但有效的「憑證革新清單」否 -- 拒絕過期的「憑證革新清單」
允許 CRL 搜尋失敗	請選擇其中一項：是 -- 若找出有效「憑證革新清單」的嘗試失敗，如同「檢查 CRL」設定為「否」一般處理。否 -- 若找不到使用者憑證的有效「憑證革新清單」，則拒絕憑證。若「信任過期 CRL」設定為「是」，則過期 CRL 仍有效。若「信任過期 CRL」設定為「否」，找不到相符有效 CRL 的每筆使用者憑證鑑定都會失敗。
SSL 安全
SSL ciphers	按一下「修改」來變更此站台文件的 SSL cipher 設定。這些設定僅套用在 SSL v3。SSL v2 cipher 無法變更。
啟動 SSL V2	選擇「是」可啟動此站台文件的 SSL v2。