Domino® 基于服务器的认证中心

您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino® 服务器上运行的进程,用于发布证书。设置了 Notes® 或因特网验证者后,应将其链接到服务器上的 CA 进程,以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上,但是此进程可以链接到多个验证者。

您可以将 Notes® 和因特网证书都设置为使用 CA 进程。Notes® 验证者注册后,会迁移到 CA 进程。但是可以使用 CA 进程创建因特网验证者。

考虑使用 CA 进程是因为它可以:

  • 提供发布 Notes® 和因特网证书的统一机制。
  • 支持 RA(注册机构)角色,此角色可用于向组织中的较低级管理员委派证书核准/拒绝进程。
  • 不要求对验证者标识和标识密码的访问权。对 CA 进程启用验证者后,即可将 registration authority 角色分配给管理员,这样管理员不必提供验证者标识和密码就可以管理证书请求。
  • 通过基于 Web 的证书请求数据库简化因特网证书请求过程。
  • 发布证书撤销列表,该列表包含有关已撤销的因特网证书的信息。
  • 创建并维护 ICL(已发布的证书列表),该列表是一个包含有关验证者已发布的所有证书信息的数据库,其中包括策略和验证者标识文件的副本。
  • 与因特网证书的安全性行业标准(如 X.509 和 PKIX)兼容。

要从 Domino® 控制台管理 CA 进程,请使用一组服务器 Tell 命令。

ICL(已发布的证书列表)

每个验证者都有一个 ICL(已发布的证书列表)该列表是在验证者最初创建或迁移到 CA 进程时创建的。ICL 是一个数据库,其中存储已发布的每个证书的副本、证书撤销列表(对于因特网验证者)以及 CA 配置文档。配置文档是在创建验证者并使用验证者的公用密钥对其进行签名时生成的。这些文档一旦创建便不可以再编辑。

CA 配置文档包括:

  • 证书概要文件,其中包含由验证者发布的证书的有关信息。
  • CA 配置文档,其中包含验证者本身的有关信息。
  • RA/CA 关联文档,其中包含有权核准和拒绝证书请求的 RA 的有关信息。每个 RA 都有一个 RA/CA 关联文档。
  • 标识文件存储文档,其中包含有关验证者标识的信息。

另一个 CA 配置文档(即“验证者”文档)是设置验证者时在 Domino® 目录中进行创建。此文档可以修改。

CRL(证书撤销列表)

CRL 是一个带时间标记的列表,用以标识已撤销的因特网证书,如属于已离开的员工的证书。CA 进程发布并维护每个因特网验证者的 CRL。CRL 与验证者关联,由验证者签名,并位于验证者的 ICL 数据库中。

创建新的因特网验证者时应配置 CRL。您可以指定 CRL 的有效期长度,以及发布新的 CRL 的时间间隔。CRL 配置好后,由验证者定期发布,并且在无人值守的情况下运行。

使用 CRL 可以管理组织中已发布的证书,并且可以轻松地撤销主体已离开组织或密钥被泄露的证书。HTTP Server 和 Web 浏览器会检查 CRL,以确定给定的证书是否已撤销,以及是否因此而不再受验证者信任。使用“因特网站点”文档在 Domino® 上配置因特网协议时,还可对每个协议启用 CRL 检查。

有两种类型的 CRL:预定和立即。对于已调度 CRL,应配置持续时间间隔(CRL 保持有效的时间段)以及发布新 CRL 的时间间隔。每个验证者都在指定的时间发布 CRL,即使自从上一个 CRL 发布以来尚未撤销证书。也就是说,如果管理员撤销了某个证书,该证书会出现在验证者按计划发布的下一个 CRL 中。CRL 持续时间段应大于两次 CRL 发布之间的时间段。这样可确保 CRL 保持有效。否则,CRL 可能在发布新的 CRL 之前就到期。

但是,在出现重大安全中断事件时(例如,管理员需要撤销某个功能特别强大的证书或者已泄露的验证者证书),可以手动发布即时 CRL(即非预定的 CRL)以强制进行紧急撤销。这种撤销既不会影响下一个预定 CRL 的时间设置,也不会影响其内容。使用 Tell 命令来发布非预定的 CRL。