安全性


Domino 伺服端認證中心
您可設定使用 CA 程序伺服器作業的 IBM Lotus Domino 發證者,來管理與處理憑證要求。CA 程序是在用來發出憑證的 Lotus Domino 伺服器上執行的程序。設定 IBM Lotus Notes 或網際網路發證者時,為了利用 CA 程序活動,您可將發證者鏈結至伺服器上的 CA 程序。僅 CA 程序的一

個實例可以在伺服器上執行;不過,可以將該程序鏈結到多個發證者。

您可以設定 Lotus Notes 及網際網路發證者以使用 CA 程序。會先註冊 Lotus Notes 發證者,再將之移轉到 CA 程序。但是網際網路發證者是使用 CA 程序來建立及註冊。

請考慮使用 CA 程序,因為它:


若要從 Domino 控制台管理 CA 程序,您可以使用一組伺服器 Tell 指令。

已發出的憑證清單 (ICL)

每一個發證者都有「已發出的憑證清單 (ICL)」,該清單是在建立發證者或將其移轉到 CA 程序時建立的。ICL 是儲存它已發出之每個憑證副本、憑證革新清單 (若為網際網路發證者) 以及 CA 配置文件的資料庫。配置文件是在建立發證者並使用發證者的公開金鑰簽認它時產生的。建立這些文件之後,就無法編輯它們。

CA 配置文件包括:


另一個 CA 配置文件 (「發證者」文件) 是在設定發證者時於「Lotus Domino 名錄」中建立。您可以修改此文件。

憑證革新清單 (CRL)

CRL 是時間戳記清單,可識別已取消的網際網路憑證 -- 例如,屬於離職員工的憑證。CA 程序會發出及維護

每一個網際網路發證者的 CRL。CRL 與發證者相關,由該發證者簽認,位於發證者的 ICL 資料庫中。

您會在建立新網際網路發證者時配置 CRL。您可以指定 CRL 有效的時間長度及發行新 CRL 之間的間隔。配置 CRL 之後,發證者將定期發出它們並進行無人式作業。

使用 CRL,您可以管理組織中發出的憑證。如果憑證的主旨離開組織或者金鑰已被洩漏,您就可以輕鬆地取消憑證。HTTP 伺服器及 Web 瀏覽器會檢查 CRL,以判定是否已取消給定的憑證,因此不再受發證者信任。使用「網際網路站台」文件在 Lotus Domino 上設定網際網路通訊協定時,也可以為每個通訊協定啟用 CRL 檢查。

有兩種類型的 CRL:排程及立即。對於一般 CRL,配置持續時間間隔 (CRL 有效的時段) 以及發出新 CRL 的間隔。每個發證者都在指定的時間內發出 CRL,即使自發出上一個 CRL 以後沒有取消任何憑證也一樣。這表示如果管理員取消憑證,憑證會出現在發證者發出之下一個排定的 CRL 中。CRL 持續時段應大於發出每個 CRL 之間的時段。這會確保 CRL 仍然有效。否則,CRL 會在發出新 CRL 之前到期。

然而,萬一重要安全性岔斷時 (例如,如果管理員需要取消特別強大的憑證或者洩漏發證者憑證),您可以手動發出立即 CRL (即未排定的 CRL) 以強制執行緊急取消。此類型的取消不會影響時間,亦不會影響下一個排定 CRL 的內容。您可以使用 Tell 指令來發出立即 CRL。

相關主題