为基于服务器的 CA 创建验证者
可以为组织创建其他 HCL Notes®和因特网验证者,并将其配置为使用 CA 进程。
要创建 Notes® 验证者
关于此任务
Notes® 将首先创建 验证者,然后将其迁移到 CA 进程。
过程
- 注册其他组织验证者或组织单元验证者。
- 将验证者迁移到 CA 进程
创建因特网验证者
关于此任务
可以使用 CA 进程创建并注册因特网验证者。
过程
- 在 HCL Domino®Administrator 中,单击配置。
- 在工具窗格上,选择。
- 在“注册因特网验证者”对话框中,选择我希望注册使用 CA 进程的新因特网验证者。
- 在“注册新因特网验证者”对话框中,单击基本。
-
创建验证者名称。应指定一个公共名称以及至少一个附加组件。
- 公共名称 - 输入验证者名称。
- 组织单元(可选)- 输入验证者组织单元的名称(如果适用)。
- 组织(可选)- 输入验证者所在组织的名称。
- 城市(可选)- 输入组织所在的城市。
- 省或自治区(可选)- 输入组织所在省/自治区/直辖市的全名。
- 国家/地区(可选)- 输入组织所在国家(地区)的缩写(两个字符)。
- 选择运行 CA 进程的服务器。这也是创建 ICL 数据库所在服务器。
- 可选:
修改缺省 ICL 数据库名称(例如:icl\icl_Renovations.nsf)。
注: 建议使用缺省目录结构。
-
对于验证者标识加密方法,选择以下某个选项:
表 1. 验证者标识加密选项 选项
安全级别
所需密码
所需操作
使用服务器标识加密标识
最低
无
无
要求激活密码
中等
服务器标识密码
如果选择使用密码,将需要激活验证者。使用 tell 命令:
tell ca activate password使用锁定标识加密标识
最高
注册用户标识和密码
如果选择使用锁定标识加密验证者标识,则应在解锁验证者之前将其锁定。使用 tell 命令:
tell ca unlockidfilepassword注: 用受密码保护的服务器标识加密验证者标识只能保护该验证者。如果使用锁定标识,那么可以将它同时用于多个验证者。然后您需要同时锁定和解锁这些验证者。 - 可选: 在管理员列表中,输入其他 CAA 和 RA 的名称。创建 CA 的管理员的名称会同时作为 CA 管理员和 RA 管理员自动包括在列表中。
-
在证书选项卡上,填写以下字段:
表 2. 要填写的证书选项卡字段 字段
操作
包括 CRL 分发点扩展
启用标识验证者 CRL 的位置的属性。建议使用此选项,从而可以在发布证书后再将其撤销。缺省值为启用。
回溯证书有效性
证书有效期是 CA 保证保留证书状态的相关信息的时间间隔。如果证书的生效日期与其创建日期不同,那么可以选择回溯该证书的有效期。此选项缺省启用。不可输入日期。
证书持续时间
输入缺省、最小和最大证书持续时间(月)。
密钥使用情况
选择此证书的密钥用法扩展。
注: 仅可创建的证书类型为最终实体证书,该选项缺省启用。这意味着由此验证者发布的因特网证书适用于证书用户和/或作为证书主体的最终用户系统。 - 单击其他,然后单击创建验证者标识的本地副本。指定验证者标识文件名和密码,然后单击确定。验证者标识的副本将保存到缺省路径 ...\notes\data\ids\certs\cert.id。可以选择其他路径。如果验证者损坏,可以将验证者标识的此本地副本用作备份来重新创建验证者。
-
填写以下字段,为此验证者指定证书撤销列表信息:
表 3. 证书撤销列表字段 字段 操作 CRL 持续时间(天) 输入指定 CRL 保持有效的时间长度(天)。建议此时间段应大于两次 CRL 发布之间的时间段,以确保 CRL 始终有效。 CRL 之间的时间(天) 输入两次 CRL 发布之间的时间间隔(天)。 -
填写以下字段,为此验证者指定密钥和验证者证书信息:
表 4. 密钥和验证者证书字段 字段 操作 签名算法 选择用于对证书的签名进行加密的算法。 密钥长度 输入用于加密的密钥长度。此设置决定了要能够表示编码密钥的任意可能值所需要的位数。密钥长度越长,就越难对已加密的文本进行解密。 证书的到期日期 (可选)更改证书的缺省到期日期。 -
填写以下字段,为此验证者指定验证者 PKIX 备用名信息:
表 5. 验证者 PKIX 备用名信息字段 字段 操作 类型 输入要使用的等价名的类型。 值 输入要使用的等价名。 注: PKIX 备用名与 Notes® 备用名不同。Notes® 备用名是用户名的外国语言版本。 - 单击确定。
结果
下一步做什么
要创建定制的 Web 服务器消息,请执行以下操作: