设置因特网证书认证中心

安全性规划中的一个重要方面是确定是否以及如何设置证书认证中心以发布因特网证书。CA(证书认证中心),或者称为验证者, 是一种可信的管理工具,负责发布并维护数字证书。证书可用来校验个人、服务器或组织的身份,并允许他们使用 SSL 进行通信以及使用 S/MIME 交换邮件。证书带有验证者的数字签名,使证书的接收者可以确信证书的持有者是证书中指定的实体。

验证者还可以发布信任根证书,以便允许那些持有由不同 CA 创建的证书的客户机和服务器相互通信。

注: 请务必区分 Notes® 验证者和因特网验证者。当您在域中安装并设置第一台 Domino® 服务器时,系统会自动设置 Notes® 验证者以向 Notes® 客户机发布 Notes® 证书。这些证书对 Notes® 客户机进行 Domino® 服务器认证以及对 Domino® 服务器进行相互认证是必不可少的。因此,即使在全 Web 客户机的环境中,Notes® 验证者也是很重要的。因特网验证者(如上文所述)发布 Internet (X.509) 证书,用以保护因特网上的通信安全。您应根据需要设置因特网验证者。

为组织选择正确的因特网验证者

设置组织的因特网验证者有多种选项(在本主题的余下部分,提到的所有“验证者”均指“因特网验证者”)。可使用第三方商业验证者(如 VeriSign),也可使用两种 Domino® 因特网验证者中的一种。这些验证者各有利弊;因此应根据组织的业务需求以及管理验证者可用的时间和资源进行选择。

因特网验证者:Domino® 与第三方相比

1. 因特网验证者

因特网验证者类型

优点

Domino® 验证者
  • 避免了第三方验证者在发布和更新客户机以及服务器证书方面所需要的费用。
  • 许多管理员已经熟悉 Domino® 验证者,因此与使用第三方验证者相比,不需要进行其他培训。
  • 可根据需要更加方便快捷地设置和部署新的证书。

第三方验证者(VeriSign、RSA 等)
  • 可简化客户机配置。如果从所使用的浏览器预先设置为“可信”的验证者处获取证书,可简化客户机配置的步骤。
  • 同样,如果使用的验证者在外部业务的邮件客户机(您与其交换 S/MIME 邮件)中预先配置为“可信”,也可简化配置步骤。

Domino® 因特网验证者:基于服务器的认证中心与 Domino® 5 认证中心的比较

您可选择是设置使用基于服务器的 CA 进程的 Domino® 认证中心,还是设置使用 CA 密钥环的 Domino® 5 认证中心。

2. Domino® 因特网验证者

Domino® 因特网验证者类型

优点

基于服务器的认证中心
  • 管理员可通过 CA 进程管理 Notes® 验证者和因特网验证者。
  • 发布符合安全性行业标准(如 X.509v3 和 PKIX)的因特网证书。
  • 无需管理员访问验证者标识和标识密码即可注册用户和服务器。如果使用该认证中心,则管理员可授权这些任务而不会对验证者造成任何潜在的危害。
  • 支持 PKIX RA(注册机构)角色,因此允许管理员授权证书批准/拒绝进程。
  • 发布 CRL(证书撤销列表),该列表包含有关已撤销或到期的因特网证书的信息。
  • 如果您计划使用 Web Administrator 客户机注册 Notes® 用户,那么必须使用该认证中心。

Domino® 5 认证中心
  • 为设置用于测试或演示目的的因特网验证者提供了一种简便的方法。

在域中同时使用两种类型的 Domino® 因特网 CA

在域中同时使用两种类型的验证者(CA 进程和 CA 密钥环)是可行的。但是,应务必小心不要由既使用密钥环又使用 CA 进程的一个验证者发布因特网证书。启用 CA 进程的验证者会在“发布的证书列表”(域中的所有服务器均可访问的数据库)中跟踪其发布的证书。另一方面,密钥环样式的验证者会在使用它的所有工作站上创建日志,因此不存在已发布的证书的中心列表(而仅有多个部分列表)。因此,CA 密钥环无法识别使用 CA 进程发布的任何证书,同样,CA 进程也无法识别使用 CA 密钥环创建的任何证书。

对于因特网验证者而言此问题更加突出,这是因为在基于服务器的证书认证中心中可能会撤销因特网证书。但是,要撤销因特网证书,必须在 ICL 将其选定。如果证书最初是使用密钥环发布的,那么它将不会显示在 ICL 中,因此无法撤销该证书。

因此,我们强烈建议您为每个验证者选择一种操作方式,即要么选择 CA 进程,要么选择 CA 密钥环。