安全性

建立伺服器金鑰組檔
從 CA 申請憑證之前,必須先建立金鑰組檔以儲存憑證。金鑰組檔為密碼保護的二進位檔,儲存在伺服器的硬碟中。建立伺服器金鑰環檔 (.KYR) 時,IBM Lotus Domino 會產生一個未簽署的伺服器憑證,並且自動包含數個授信主要憑證。未簽認的伺服器憑證在發證者簽認前無效。Domino 也會建立一個與金鑰組檔相同名稱的藏匿檔案 (.STH),但副檔名為 .STH。Domino 會使用匿藏檔案來儲存金鑰組檔密碼,以供對伺服器金鑰組檔的無人式存取權。

每個伺服器憑證皆包含 SSL 連線所使用的辨識名稱。建立伺服器金鑰組檔時,設定此辨識名稱。雖然可選擇性地設定若干辨識名稱的元件,但若包含的元件愈多,則在網際網路他處遇到相同名稱的可能性就愈小。

附註 如果要向伺服器型的憑證管理中心要求伺服器憑證,您可以使用 IBM Lotus Notes 用戶端,在「憑證要求」資料庫建立伺服器金鑰環及要求伺服器憑證。

建立伺服器金鑰組檔

1. 設定「伺服器憑證管理」應用程式。

2. 從 Lotus Notes 用戶端,開啟您要啟用 SSL 之伺服器上的「伺服器憑證管理」應用程式。

3. 按一下「建立金鑰組」。

4. 完成下列欄位:
欄位動作
金鑰組檔案名稱輸入金鑰組檔案名稱。預設為 KEYFILE.KYR。 使用 .KYR 副檔名有助於使金鑰組檔名一致。

附註 伺服器的金鑰組檔案名稱會顯示在已配置的任一「網際網路網站」文件中,或者如果沒有使用「網際網路網站」文件,則顯示在「伺服器」文件的 [通訊埠][網際網路通訊埠] 標籤上。如果指定與預設相異的名稱,則必須在名稱出現之處 (「網際網路站台」文件或「伺服器」文件中) 編輯名稱。

金鑰組密碼輸入金鑰組的密碼。
金鑰大小在建立公開及專用金鑰配對時,指定 Domino 使用的金鑰大小。金鑰愈大,加密功能就愈強。
一般名稱輸入伺服器的 TCP/IP 完整網域名稱,如 www.acme.com。

由於若干瀏覽器會在接受連線前檢查一般名稱與主機名稱是否相符,因此請設定伺服器的憑證,使一般名稱符合主機名稱。

組織輸入組織名稱,例如,公司名稱 (如 Acme)。
組織單位(選擇性) 輸入發證者的組名稱或部門名稱。
城市或區域(選擇性) 輸入組織的城市或區域。
州或省輸入發證者組織所在州或省的完整名稱。
國家輸入組織所在國家的兩字母縮寫
5. 按一下「建立金鑰組」。

6. 讀取金鑰組檔及階層性名稱的相關資訊後,請按一下「確定」。Lotus Notes 會建立金鑰環檔及隱藏檔 (.STH),並將其置於建立金鑰環的用戶端機器之 Lotus Notes 資料目錄。

7. 將金鑰組檔以及隱藏檔 (.STH) 複製到伺服器的 Domino data 目錄中。


8. 申請 SSL 伺服器憑證。

相關主題