签署因特网客户机证书并将其添加到 Domino® 目录中
CA 签署因特网客户机证书时,将为证书添加数字签名,如果使用的是 Domino® CA,那么会将公用密钥添加到 Domino® 目录。如果使用的是第三方 CA,那么必须完成其他步骤,以将公用密钥添加到 Domino® 目录。
关于此任务
如果使用的是 Notes® 客户机,并且 CA 已将证书发布到 Domino® 目录的“个人”文档中,那么无需完成这些步骤。当用户向服务器进行认证时,Notes® 会自动将存储在“个人”文档中的因特网证书添加到 Notes® 标识文件。
签署因特网客户机证书以及将其添加到 Domino® 目录时所执行的步骤取决于该证书是从基于 Domino® 服务器的认证中心、Domino® 5 认证中心还是第三方 CA 发布的。
在批准将客户机证书用于签名之前:
- 确保您了解组织在证书签名方面的策略。如果证书请求符合组织的安全性策略,则为客户机的客户机证书签名。
- 确保在服务器上设置了管理进程。如果要对因特网客户机的证书签名,应确保您已创建了“个人”文档。
Domino® 基于服务器的认证中心
关于此任务
这些步骤由 Domino® CA 完成。您必须是注册机构 (RA) 才能批准将客户机证书用于签名。
过程
- 从 Domino® Administrator 中,单击文件,然后打开“Domino® 证书请求”应用程序。
-
将证书请求传输到“管理请求”数据库。
- 在“证书请求”数据库中,打开暂挂/已提交请求视图。如果视图中未显示客户机请求,则按 F9 刷新视图。
- 如果视图显示该请求已提交到 Administration Process,请转至下一步。如果该请求仍处于暂挂状态,请突出显示该请求并单击提交所选请求。
- 您应该会看到消息已成功提交 1 个请求到 Administration Process 中。单击确定。
-
批准或拒绝该请求。
- 打开“管理请求”数据库 (ADMIN4.NSF),打开认证中心请求/证书请求视图,并查找新的客户机请求。
- 打开请求并检验其中的信息。
- 单击编辑请求,然后单击核准请求或拒绝请求。按 F9 并确保请求状态从“New”更改为“Approved”(或“Rejected”)。
-
将证书请求从“管理请求”数据库中发送出去。
- 关闭“管理请求”数据库,返回“证书请求”数据库。
- 打开已发布/已拒绝证书视图,并查找客户机请求(可能需要刷新视图)。
-
通知请求客户机证书的用户。
- 如果启用了在客户机请求完成时通过电子邮件进行确认的选项,那么一旦请求完成,CA 将自动通知请求者提取证书。如果请求被拒绝,将向请求者发送电子邮件,说明请求被拒绝。
- 如果未启用在客户机请求完成时通过电子邮件进行确认的选项,那么需要单击发送确认邮件以向请求者通知结果。
结果
注: 如果配置“证书请求”数据库自动处理请求,则该数据库会自动将客户机请求发送到“管理请求”数据库。注册机构只负责批准或拒绝请求。
Domino® 5 认证中心
关于此任务
因特网证书请求显示在“Domino® 认证中心”应用程序的“客户机证书请求”视图中。CA 在签署证书后,可以自动向客户机发送电子邮件。此电子邮件说明在何处提取证书,并包括一个提取标识,客户机在提取过程中必须使用此标识来识别证书。Domino® 自动生成提取标识。
注: 以下步骤适用于由 Domino® CA 发布的签署客户机证书。这些步骤由 Domino® CA 完成。
过程
- 从 Domino® Administrator 中,单击文件,然后打开“Domino® 认证中心”应用程序。
- 单击客户机证书请求。
- 打开要签名的请求。
- 查看用户信息和专有名称。确保所提供的信息符合您公司的安全性策略。
-
将在 Domino 目录中注册证书选项保持选中状态,以将客户机的公用密钥自动添加到“个人”文档中。
如果要拒绝请求,请完成步骤 6,否则,请转至步骤 7。
-
拒绝请求:
- 输入拒绝请求的原因。
- 如果不希望向个人发送电子邮件,请取消选中向请求者发送通知电子邮件。否则,“Domino® 认证中心”应用程序会向个人发送电子邮件,指示您拒绝了该请求,并说明拒绝该请求的原因。
- 单击拒绝。
-
批准请求:
第三方 CA
关于此任务
如果用户使用 Notes® 客户机从第三方 CA 获取因特网证书,那么该证书将自动添加到其“个人”文档中。
如果用户通过浏览器向第三方 CA 获取因特网证书,之后必须将证书添加到自己的“个人”文档中。