安全性


使用交互憑證存取伺服器並傳送安全的 S/MIME 訊息
IBM Lotus Domino 使用兩種類型的交互憑證:IBM Lotus Notes 及網際網路。Lotus Notes 交互憑證可讓不同階層認證組織的使用者存取伺服器,並接收已簽認的郵件訊息。網際網路交互憑證可讓使用者接收已簽認的郵件訊息,並傳送加密的郵件訊息。

Notes 交互憑證

可以使用交互憑證,讓不同階層認證之組織的使用者及伺服器存取其他組織的伺服器,以及驗證其他組織的使用者數位簽名。Domino 伺服器會在「Domino 名錄」中儲存交互憑證。若要存取 Domino 伺服器,IBM Lotus Notes 用戶端會取得那些伺服器的交互憑證,並將其儲存在「個人通訊錄」中。這些交互憑證只供簽發的使用者使用。

例如,如果 Alan Jones/Sales/East/Acme 想存取 Support/Seascape 伺服器,則需要來自/Seascape 的交互憑證,而 Support/Seascape 伺服器需要 /Sales/East/Acme 的交互憑證。Alan 嘗試透過 Support/Seascape 伺服器進行鑑定時,伺服器會檢查 Alan 「個人通訊錄」中的交互憑證。如果 Support/Seascape 找到有效的交互憑證,則會檢查是否允許 Alan 存取伺服器。

交互憑證能發生在不同的組織層級。例如,允許組織內的使用者與其他組織的伺服器進行認證,每個使用者在「個人通訊錄」中都有其他組織認證者的交互憑證。組織在「Domino 名錄」中,均擁有其他組織認證者的交互憑證。交互憑證亦可能發生在個別使用者或伺服器 ID 層級。 例如,若要允許單一使用者與其他組織單位的伺服器進行認證,或驗證來自該組織單位的使用者數位簽名,則使用者 ID 需要其他公司之組織單位認證者的交互憑證,且組織單位認證者需要使用者 ID 的交互憑證。

雙向交互憑證不需對稱。例如,一個組織可以擁有組織單位認證者的交互憑證,而另一個組織可以擁有組織認證者的交互憑證。

如果擁有組織或組織單位認證者的交互憑證,請設定伺服器權限限制,防止其他組織存取儲存機密資訊的特定伺服器。若要讓組織存取另一個組織的伺服器,但要防止該組織存取您的伺服器,請在必要時交換交互憑證,但要在所有伺服器中設定伺服器存取權清單,以防止其他組織存取。

網際網路交互憑證

網際網路交互憑證是驗證使用者或伺服器的憑證。網際網路交互憑證能讓加密的 S/MIME 訊息收件人確定可信任寄件人的憑證,且簽認 S/MIME 訊息的憑證有效。當 Lotus Notes 用戶端使用 SSL 來存取網際網路伺服器時,也會驗證伺服器的身分。

網際網路交互憑證儲存在使用者「個人通訊錄」的「憑證」文件中,只供簽發的使用者使用。網際網路交互憑證的簽發有最後一層憑證 (亦即,由 CA 簽發給使用者或伺服器的憑證) 或 CA 本身。建立最後一層憑證的交互憑證表示只信任憑證的擁有者,例如,簽認訊息的傳送者或加密訊息的收件人。CA 的交互憑證表示信任擁有 CA 簽發的憑證的所有擁有者。如果您交互憑證 CA,您信任 CA 簽發憑證給階層名稱樹中較低的使用者和伺服器。例如,交互憑證 Sales/ABC 後,您會信任 Sales/ABC 簽發憑證給 Fred/Sales/ABC。或者,在建立 Fred/Sales/ABC 的交互憑證後,您就只信任 Fred/Sales/ABC。

範例

相關主題