配置 AES 以用于邮件和文档加密
您可以使用“安全性设置”文档和策略通过 AES 设置邮件文档加密。此外,还可以使用桌面策略中的 NOTES.INI 设置,将 AES 加密设置为 S/MIME 邮件的缺省加密方法(使用或不使用 SHA-2 签署)。
配置 AES 以用于当前发行版中的 Notes® 邮件和文档加密
开始之前
过程
- 在 Domino® Administrator 客户机中,创建新的“安全性设置”文档,或者打开现有“安全性设置”文档。
- 单击密钥和证书。
- 在文档/邮件加密设置部分中,单击将 FIPS 140-2 算法用于 Notes 加密(需要 8.0.x 或更高版本的服务器和客户机)。
- 将设置分配给策略。
结果
配置 AES 以用于 S/MIME 邮件加密(使用或不使用 SHA-2 摘要签署)
开始之前
过程
- 在 Domino® Administrator 客户机中,创建新的“桌面设置”文档,或者打开现有“桌面设置”文档。
- 单击添加设置,打开桌面设置对话框,然后打开定制设置选项卡。
- 选择 Notes.ini。
- 单击编辑列表以打开使您能够创建 NOTES.INI 设置和值对的面板。
-
对于 AES 缺省加密,在项字段中,指定以下 NOTES.INI 设置:
SMIME_FIRST_CHOICE_CONTENT_ENC_ALG -
在值字段中,为设置指定值。该值指定 AES 加密级别或 SHA-2 级别,并可以是以下任一项:
- AES_128
- AES_192
- AES_256
如果未设置SMIME_FIRST_CHOICE_CONTENT_ENC_ALG参数,将使用 3DES 作为缺省值。提示: 可以将 AES 的值与 SHA-2 的值组合使用(下一步),两个值之间用冒号分隔。 -
对于 SHA-2 摘要 S/MIME 邮件,在项字段中,指定以下 NOTES.INI 设置:
SMIME_CAPABILITIES_SEND -
在值字段中,为设置指定值。该值指定 AES 加密级别或 SHA-2 级别,并可以是以下任一项:
- SHA_256
- SHA_512
- SHA_384
注: 如果SMIME_CAPABILITES_SEND中有多个 SHA 摘要,那么列表中最后一项是发件人针对已签署 S/MIME 邮件的缺省选择。 - 选择添加/修改值。
- 单击确定,然后单击保存并退出。
结果
配置 AES 以用于混合发行版环境中的邮件和文档加密
关于此任务
如果 Domino® 8.0.1 或更高版本的客户机和服务器与运行早于 8.0.1 的发行版的客户机和服务器进行交互,那么对于运行至少 8.0.1 的用户,请使用 Domino® Administrator 中的“加密功能”工具来按用户逐个配置 AES 文档加密功能。
如果已通过策略启用邮件和文档加密,那么不要执行以下步骤,因为将忽略这些设置。
过程
- 如果 8.0.1 或更高版本用户和服务器的标识未使用 1024 位或更长的 RSA 密钥,请将密钥翻转为 1024 位或更长。
- 在 Domino® Administrator 客户机中,单击个人和组。
- 选择要为其启用 AES 文档和邮件加密的 8.0.1 或更高版本用户的名称,
- 单击。
- 单击可解密 FIPS 140-2。
结果
指定的用户“个人”文档中已将可使用 FIPS 140-2 批准的算法解密文档字段设置为是。当这些用户加密文档或邮件时,使用的加密算法取决于将解密文档或消息的所有收件人的加密功能:
- 如果任何收件人使用的标识是采用 630 位 RSA 密钥,或正在使用 64 位 RC2 文档加密密钥,那么将使用 64 位 RC2 批量数据密钥来加密文档。
- 如果所有收件人使用的标识均采用 1024 位 RSA 密钥或更长的密钥,但一个或多个收件人的“个人”文档未配置可使用 FIPS 140-2 批准的算法解密文档,或者使用的是 128 位 RC2 文档加密密钥,那么将使用 128 位 RC2 批量数据密钥来加密文档。
- 如果所有收件人使用的标识均采用 1024 位或更长的 RSA 密钥,并且所有收件人的“个人”文档均配置了可使用 FIPS 140-2 批准的算法解密文档,或者使用的是 128 位 AES 文档加密密钥,那么将使用 128 位 AES 密钥来加密文档
- 如果所有收件人使用的标识均采用 4096 位或更长的 RSA 密钥(不可用于 8.0.1 中的最终用户),那么将使用 256 位 AES 加密。