安全性
憑證亦會發出信任根憑證,這會讓具有不同 CA 建立之憑證的用戶端及伺服器相互通訊。
附註 區分 IBM Lotus Notes 發證者與網際網路發證者非常重要。在網域中安裝及設定第一部 IBM Lotus Domino 伺服器時,會自動設定 Lotus Notes 發證者,以向 Lotus Notes 用戶端發出 Lotus Notes 憑證。如果 Lotus Notes 用戶端使用這些憑證向 Lotus Domino 伺服器進行鑑別,或 Lotus Domino 伺服器使用這些憑證彼此進行鑑別,則這些憑證就十分重要。因此,即使在具有所有 Web 用戶端的環境中,Lotus Notes 發證者亦很重要。網際網路發證者 (如此處所說明) 會發出網際網路 (X.509) 憑證,這是透過網際網路進行安全通訊所必要的。您可視需要設定網際網路發證者。
為組織選擇正確的網際網路發證者
您有數個選項可用來為組織設定網際網路發證者 (對於本主題的其餘部份,發證者的所有參考表示「網際網路」發證者)。可以使用協力廠商商業發證者 (如 VeriSign),也可以使用 Lotus Domino 網際網路發證者之兩個類型中的一個。每種類型的發證者都有其優點與缺點;您所作出的選擇應由組織的業務需求,及管理發證者所使用的時間與資源來決定。
網際網路發證者:Domino 及協力廠商
網域中可能有兩種類型的發證者:CA 處理及 CA 金鑰組。不過,您必須注意不能讓既使用金鑰組又使用 CA 處理的發證者發出網際網路憑證。啟用 CA 處理的發證者,會追蹤在「已發出的憑證清單」(可存取網域中所有伺服器的資料庫) 中發出的憑證。另一方面,金鑰組樣式發證者會建立在任何一個工作站上所使用的日誌,因此沒有已發出憑證的集中式清單 (僅有多個部份清單)。所以,CA 金鑰組將不會辨識使用 CA 處理而發出的任何憑證,與如同 CA 處理不會辨識使用 CA 金鑰環檔所建立的任何憑證一樣。
這特別是對於網際網路發證者是個問題,因為可能會取消伺服器端認證中心的網際網路憑證。不過,若要取消網際網路憑證,您必須在 ICL 中選取它。如果使用金鑰組來起始發出憑證,則它將不會出現在 ICL 中,因此無法取消它。
所以,強烈建議您選擇一種方法,為每個發證者執行 CA 處理或 CA 金鑰組。
相關主題