Lotus Domino Administrator 8.51 說明 - 使用者及伺服器金鑰換用

安全性

使用者及伺服器金鑰換用
金鑰輪替是用以更新儲存在使用者及伺服器 ID 檔中之 IBM Lotus Notes 公開私密金鑰組的程序。這組金鑰可能必須定期更換，預防有未偵測到的私密金鑰妥協情況發生；補救從已知的私密金鑰妥協進行回復的情況；或是更新為更大型的金鑰以增加安全性。

您可以透過安全設定政策文件，配置觸發初始化使用者金鑰換用的條件，而對於伺服器金鑰換用則是在「伺服器」文件中進行。觸發條件包括：

現有的金鑰大小
現有金鑰的發出日期
現有金鑰的存留時間

管理員可以使用金鑰輪替功能，將取代金鑰部署到使用者群組 (透過安全性設定政策文件)。

Lotus Notes 7 使用者也可以透過「使用者安全性」對話框上的「新建公開金鑰」按鈕，觸發金鑰輪替。如果他們選擇「鑑別通訊協定」作為憑證要求方法，就會如同由政策設定觸發而換用現行的金鑰。如果他們選擇「郵件通訊協定」，就會使用 R6 及先前的郵件方法。

如需使用者如何觸發金鑰輪替的詳細資訊，請參閱「建立新的 Notes 公開金鑰並將其新增到 Domino 名錄」。

政策已經建立，或是使用者已透過「使用者安全性」對話方框觸發金鑰換用時，下次使用者對起始伺服器進行鑑定時，就會將金鑰換用資訊寫入 ID 檔案中。當發生觸發條件，而且使用者接受提示以容許金鑰換用時，就會起始金鑰換用，在使用者 ID 檔案中建立新的金鑰並標示為擱置中。當使用者在新/擱置中金鑰產生之後，透過起始伺服器進行認證時，就會在「管理要求」資料庫中建立「認證新金鑰要求」

完成金鑰換用程序：

1. 在「IBM Lotus Domino 管理員」中，開啟「管理要求」資料庫。

2. 在「認證新金鑰要求」視圖中，選取使用者的要求，然後按一下「認證選取的項目」。

3. 在「選擇發證者」對話框中，執行下列其中一項：

如果您使用的是以伺服器為依據的憑證管理中心，請從下拉清單中選擇。
如果您使用的是發證者 ID，請提供發證者 ID 位置及密碼。

完成該要求且已認證新的金鑰時，就會使用新的金鑰及認證資訊來更新「人員」文件。

4. 在「憑證到期日」對話框中，驗證日期無誤再按一下「確定」。

5. 在「處理統計資料」對話框中，驗證未發生失敗，然後按一下「確定」。

當使用者接下來透過起始伺服器進行認證時，即會出現一個對話方框，詢問新的使用者是否要接受新的公開金鑰。使用者必須按一

下「確定」以接受新的憑證。使用者 ID 檔案中的新/擱置中金鑰就會啟動，並保存舊的金鑰。

附註保存的金鑰會保留在 ID 檔案中，如此可用來將使用該金鑰加密的文件解密。

配置伺服器金鑰換用

1. 在「伺服器」文件中，按一下「管理」。

2. 在「公開金鑰需求」下，完成下列欄位：

欄位動作

可容許金鑰強度下限為伺服器 ID 指定所允許之保護力最弱的金鑰大小。凡是弱於此的金鑰都會予以輪替。

無最小值 (預設值)
與所有版次相容 (512 位元)。
與所有版次相容 (630 位元)。
和第 6 版與以上的版本相容 (1024 位元)。
和第 7 版與以上的版本相容 (2048 位元)。

可允許的金鑰強度上限指定所容許保護力最強的金鑰大小。保護力比此更強的金鑰將會被換用。

與所有版次相容 (630 位元)。
和第 6 版與以上的版本相容 (1024 位元) (預設值)。
和第 7 版與以上的版本相容 (2048 位元)。

偏好的金鑰強度指定金鑰被換用時要使用的金鑰強度：

最小值 (512 位元)。
與所有版次相容 (630 位元)。
和第 6 版與以上的版本相容 (1024 位元) (預設值)。
和第 7 版與以上的版本相容 (2048 位元)。

金鑰的最大允許經歷時間指定在需要輪替前，金鑰可達到的經歷時間上限 (以天計)。預設值為 36500 天 (100 年)。

最早的可容許金鑰建立日期在此日期前建立的任何金鑰將被替換。

請勿自動產生新的金鑰，直到指定金鑰不符合金鑰寬度需求而可被換用的最早日期

建立新金鑰後，舊金鑰仍為有效的天數上限指定在網路鑑別期間，可使用舊金鑰的時間長短。在 Notes 金鑰驗證期間，會將所有的新舊憑證以及所有的換用金鑰組織成樹狀結構。在該樹狀結構中會進行周遊，以搜尋可相互鏈結以驗證金鑰的一組憑證。若憑證已到期，則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用，最好能設定一個簡短的值，作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天，而預設值為 365。

3. 關閉並儲存文件。金鑰換用資訊會寫入伺服器 ID 檔案。當發生觸發條件時，就會初始化金鑰換用，在伺服器 ID 檔案中建立新的金鑰並標示為擱置中。

4. 重新啟動伺服器。

5. 在「Domino 管理員」中，開啟「管理要求」資料庫。

6. 在「認證新金鑰要求」視圖中，選取伺服器的要求，然後按一下「認證選取的項目」。

7. 在「選擇發證者」對話框中，執行下列其中一項：

如果您使用的是以伺服器為依據的憑證管理中心，請從下拉清單中選擇。
如果您使用的是發證者 ID，請提供發證者 ID 位置及密碼。

8. 在「憑證到期日」對話框中，驗證日期無誤再按一下「確定」。

9. 在「處理統計資料」對話框中，驗證未發生失敗，然後按一下「確定」。

10. 在伺服器控制台鍵入 "tell adminp process all" 以完成金鑰認證處理。

11. 鍵入 "restart server"。重新啟動伺服器，可使伺服器讀取它的資訊，並接受新的認證金鑰。

相關主題

建立安全政策設定文件

建立新的 Notes 公開金鑰並將其新增到 Domino 名錄

名詞解釋

建議說明或 產品可用性?

說明的說明

所有說明內容

名詞解釋

欄位	動作
可容許金鑰強度下限	為伺服器 ID 指定所允許之保護力最弱的金鑰大小。凡是弱於此的金鑰都會予以輪替。無最小值 (預設值) 與所有版次相容 (512 位元)。與所有版次相容 (630 位元)。和第 6 版與以上的版本相容 (1024 位元)。和第 7 版與以上的版本相容 (2048 位元)。
可允許的金鑰強度上限	指定所容許保護力最強的金鑰大小。保護力比此更強的金鑰將會被換用。與所有版次相容 (630 位元)。和第 6 版與以上的版本相容 (1024 位元) (預設值)。和第 7 版與以上的版本相容 (2048 位元)。
偏好的金鑰強度	指定金鑰被換用時要使用的金鑰強度：最小值 (512 位元)。與所有版次相容 (630 位元)。和第 6 版與以上的版本相容 (1024 位元) (預設值)。和第 7 版與以上的版本相容 (2048 位元)。
金鑰的最大允許經歷時間	指定在需要輪替前，金鑰可達到的經歷時間上限 (以天計)。預設值為 36500 天 (100 年)。
最早的可容許金鑰建立日期	在此日期前建立的任何金鑰將被替換。
請勿自動產生新的金鑰，直到	指定金鑰不符合金鑰寬度需求而可被換用的最早日期
建立新金鑰後，舊金鑰仍為有效的天數上限	指定在網路鑑別期間，可使用舊金鑰的時間長短。在 Notes 金鑰驗證期間，會將所有的新舊憑證以及所有的換用金鑰組織成樹狀結構。在該樹狀結構中會進行周遊，以搜尋可相互鏈結以驗證金鑰的一組憑證。若憑證已到期，則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用，最好能設定一個簡短的值，作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天，而預設值為 365。