Configuration de la sécurité Domino® des documents de site Internet

Pour configurer la sécurité des documents de site Internet, vous pouvez activer une authentification SSL client et serveur, une authentification par mot de passe ou un accès anonyme pour les clients Internet et Intranet.

Pourquoi et quand exécuter cette tâche

Pour activer SSL pour les sites Internet, configurez le port SSL dans le document Serveur et configurez SSL sur le serveur en obtenant un certificat de serveur et un jeu de clés émis par une autorité de certification Internet.

Pour configurer une authentification SSL, vous devez créer un fichier de jeu de clés de serveur pour chaque document de site Internet. Toutefois, si les documents de site Internet sont destinés à la même organisation mais sont créés pour des protocoles différents, un fichier de jeu de clés de serveur unique peut être utilisé. Assurez-vous d'entrer le nom de fichier du jeu de clés de serveur dans le champ approprié de l'onglet Sécurité de chaque document de site.

Si vous voulez vous servir des listes de révocation de certificats (LRC) pour l'authentification de certificats Internet, le serveur doit utiliser une autorité de certification sur serveur Domino® pour émettre les certificats Internet.

Remarque : Pour les sites Web, le nom usuel du jeu de clés de serveur doit correspondre au nom DNS auquel l'adresse IP du document Site Web est mappée. Il est nécessaire que l'adresse IP soit enregistrée dans le champ Noms d'hôtes ou adresses mappés vers ce site, qui se trouve dans le document de site Web. Si vous activez Rediriger TCP vers SSL dans un document Site Web, le nom d'hôte et l'adresse IP doivent être inclus dans ce champ.

Familiarisez-vous avec les concepts d'authentification SSL, d'authentification par nom et mot de passe et d'accès anonyme avant d'effectuer la procédure ci-dessous.

Remarque : Vous pouvez interdire efficacement l'accès à un site Internet en choisissant Non pour toutes les options d'authentification d'un document de site Internet. Ces options incluent l'authentification TCP, l'authentification SSL et l'accès anonyme TCP.

Procédure

  1. Dans Domino® Administrator, cliquez sur Configuration > Web > Sites Internet.
  2. Choisissez le document de site Internet à modifier, puis cliquez sur Editer document.
  3. Cliquez sur l'onglet Sécurité et complétez les champs ci-dessous :
    Tableau 1. Champs et descriptions du site Sécurité pour Internet

    Champ

    Description

    Authentification TCP

    Anonyme

    (S'applique à tous les sites Internet, à l'exception de IMAP et POP3)

    Sélectionnez l'une des options suivantes :

    • Oui - Pour permettre l'accès anonyme à ce site.
    • Non - Pour interdire l'accès anonyme.

    Nom et mot de passe

    Sélectionnez l'une des options suivantes :

    • Oui - Pour demander à l'utilisateur de s'authentifier en fournissant un nom d'utilisateur et un mot de passe Internet pour accéder au site.
    • Non - Pour ne pas exiger l'authentification par nom et mot de passe.

    Rediriger TCP vers SSL

    (Ne s'applique qu'aux sites Web) Sélectionnez au choix :

    • Oui - Pour demander aux clients et aux serveurs d'utiliser le protocole SSL pour accéder au site Web.
    • Non - Pour permettre aux clients et aux serveurs d'utiliser SSL ou TCP/IP pour accéder au site Web.

    Authentification SSL

    Anonyme

    (S'applique à tous les sites Internet, à l'exception de IMAP et POP3)

    Sélectionnez l'une des options suivantes :

    • Oui - Pour permettre aux utilisateurs d'accéder via le port SSL sans authentification par nom et mot de passe.
    • Non - pour refuser tout accès anonyme aux utilisateurs.

    Nom et mot de passe

    Sélectionnez l'une des options suivantes :

    • Oui - Pour demander à l'utilisateur de s'authentifier en fournissant un nom d'utilisateur et un mot de passe Internet pour accéder au site en utilisant SSL.
    • Non - Pour ne demander ni nom, ni mot de passe.

    Certificat client

    (S'applique aux sites Web, IMAP, POP3 et LDAP)

    Sélectionnez l'une des options suivantes :

    • Oui - Pour demander un certificat client pour accéder à ce site.
    • Non - Pour ne pas demander de certificat client.

    Options SSL

    Nom du fichier de clés

    Entrez le nom de fichier du jeu de clés du serveur.

    Version de protocole

    Sélectionnez l'une des options suivantes :

    • V2.0 uniquement - N'autorise que les connexions SSL 2.0.
    • Etablissement de liaison V3.0 - Tente une connexion SSL 3.0. Si cette tentative échoue et que le demandeur détecte SSL 2.0, un essai de connexion à l'aide de SSL 2.0 est effectué.
    • V3.0 uniquement : autorise uniquement les connexions SSL 3.0.
    • V3.0 avec établissement de liaison V2.0 - Tente d'établir une liaison SSL, qui affiche les messages d'erreur appropriés. Etablit une connexion SSL 3.0, si possible.
    • Négocié (valeur par défaut) - Tente une connexion SSL 3.0. En cas d'échec, tente d'utiliser SSL 2.0. Utilisez ce paramètre, sauf si vous rencontrez des problèmes de connexion provoqués par des versions de protocole incompatibles.

    Accepter les certificats de site SSL

    Sélectionnez l'une des options suivantes :

    • Oui - Pour accepter le certificat et utiliser SSL, même si le serveur ne possède pas de certificat commun avec le serveur de protocole.
    • Non (valeur par défaut) - Pour refuser les certificats de site SSL.

    Accepter les certificats SSL expirés

    Sélectionnez l'une des options suivantes :

    • Oui - Pour permettre l'accès des clients, même si leurs certificats sont périmés.
    • Non - Pour interdire l'accès aux clients utilisant des certificats SSL arrivés à expiration.

    Contrôler les LRC

    Sélectionnez l'une des options suivantes :

    • Oui - Pour vérifier dans la liste de révocation de certificat (LRC) la présence éventuelle du certificat utilisateur que vous tentez de valider. Si une LRC valide est détectée et que le certificat utilisateur s'y trouve, ce dernier est rejeté.
    • Non - Pour ne pas utiliser les listes de révocation de certificat.

    Accréditer les LRC expirées

    Sélectionnez l'une des options suivantes :

    • Oui - Pour utiliser les listes de révocation de certificat expirées mais néanmoins valides, lors de la tentative de validation des certificats utilisateur.
    • Non - Pour rejeter les listes de révocation de certificat expirées.

    Autoriser l'échec de la recherche de LRC

    Sélectionnez l'une des options suivantes :

    • Oui - En cas d'échec de localisation d'une liste de révocation de certificat valide, s'exécute comme si l'option Contrôler les LRC était définie sur Non.
    • Non - Si aucune liste de révocation de certificat valide n'est trouvée pour le certificat utilisateur, rejette le certificat. Si l'option Accréditer les LRC expirées est définie sur Oui, une LRC expirée reste valide. Si l'option Accréditer les LRC expirées est paramétrée sur Non, l'authentification échouera pour chaque certificat utilisateur pour lequel une LRC valide correspondante ne sera pas trouvée.

    Sécurité SSL

    Chiffrements SSL

    Cliquez sur Modifier pour modifier les paramètres de chiffrement SSL pour ce document de site. Ces paramètres ne s'appliquent qu'à SSL v3. Les chiffrements SSL v2 ne peuvent être modifiés.

    Activer SSL V2

    Sélectionnez Oui pour activer SSL v2 pour ce document de site.

  4. Enregistrez le document.