安全性

為伺服器型 CA 建立發證者
您可為組織建立額外的 IBM Lotus Notes 與網際網路發證者,然後將它們設定為要使用 CA 程序。

建立 Notes 發證者

會先建立 Lotus Notes 發證者,再將之移轉到 CA 程序。

1. 註冊額外組織發證者或組織單位發證者。

2. 將發證者移轉到 CA 程序。

建立網際網路發證者

使用 CA 程序建立及註冊網際網路發證者。

1. 從「IBM Lotus Domino 管理員」中,按一下「配置」。

2. 在「工具」窗格上,選取 [註冊] - [網際網路發證者]。

3. 在「註冊網際網路發證者」對話框中,選取「我想要註冊使用 CA 程序的新網際網路發證者」。

4. 在「註冊新的網際網路發證者」對話框中,按一下「基礎」。

5. 建立發證者名稱。指定一般名稱及至少一個其他元件:

6. 選擇正在執行 CA 程序的伺服器。這也是將會建立 ICL 資料庫的同一個伺服器。

7. (選擇性) 修改預設 ICL 資料庫名稱 (例如:"icl\icl_Acme.nsf")。


8. 為「加密發證者 ID」選取一項:
選項安全性層次需要的密碼需要的動作
使用伺服器 ID 來加密 ID最低
需要密碼才能啟動中等伺服器 ID 密碼如果您選擇使用密碼,就必須啟動發證者。使用 tell 指令:

tell ca activate <password>

使用鎖定 ID 來加密 ID最高已註冊的使用者 ID 和密碼若您選擇以鎖定 ID 為發證者 ID 加密,則發證者在被您解除鎖定前,都將處於鎖定狀態。使用 tell 指令:

tell ca unlock <idfile><password>


9. (選擇性) 在「管理員」清單中,輸入其他 CAA 及 RA 的名稱。建立 CA 的管理員名稱會作為 CA 管理員及 RA 管理員自動併入到清單中。

10. 在「憑證」標籤上,完成這些欄位:
欄位動作
包含 CRL 配送點擴充啟用可識別發證者 CRL 位置的屬性。建議您使用此選項,如此就可以在發送憑證後,將其撤銷。預設為啟用。
截止日憑證有效性憑證有效期間為 CA 授權將保留憑證狀態之相關資訊期間的時間間隔。在憑證變為有效之日期的事件中,與其建立的日期不同,您可以選擇回溯至憑證的有效期間。預設會啟用此選項。您無法輸入日期。
憑證持續時間輸入預設、最小及最大憑證持續時間 (以月為單位)。
金鑰用法選擇此憑證的金鑰用法擴充。
附註 您可以建立的唯一憑證類型 (其為一般實體憑證),並且預設會啟用此選項。這表示此發證者發出的網際網路憑證適用於憑證的使用者及/或一般使用者系統,他們是憑證的主旨。

11. 按一下「雜項」,然後按一下「建立發證者 ID 的本端副本」。指定發證者 ID 檔的名稱及密碼,然後按一下「確定」。發證者 ID 的副本會儲存到預設路徑 ...\notes\data\ids\certs\cert.id。您可以選取不同的路徑。將此發證者 ID 的本端副本用作備份,以便在發證者損毀時重新建立它。

12. 完成這些欄位,為此發證者指定「憑證取消清單」資訊:
欄位動作
CRL 持續時間 (以天為單位)輸入給定 CRL 有效的時間長度 (以天為單位)。建議此時段超出發出 CRL 之間的時段,因為這會確保 CRL 一直有效。
CRL 之間的時間 (以天為單位)輸入發出 CRL 之間的時間間隔 (以天為單位)。
13. 完成這些欄位,為此發證者指定「金鑰及發證者憑證」資訊:
欄位動作
簽認演算法選取用於加密憑證簽名的演算法。
金鑰長度輸入用於加密的金鑰長度。此設定決定可以代表加密金鑰之任何可能值所需要的位元數。金鑰長度越長,解密加密的文字就越困難。
憑證到期日(選擇性) 變更預設憑證到期日。
14. 完成這些欄位,為此發證者指定「發證者 PKIX 替代名稱」資訊:


15. 按一下「確定」。即會出現訊息,說明您已成功設定了 CA。

16. 完成下列程序:

相關主題