验证者标识和证书

验证者标识和证书构成了 HCL Domino®安全性的基础。要在组织的分层名称方案中正确放置服务器和用户，请为名称树上的每个分支创建一个验证者标识。在服务器和用户的注册过程中，可使用验证者为每个服务器标识和用户标识“标记”一个证书（证书定义服务器标识和用户标识在组织中所属的层次）。属于同一个名称树的服务器和用户可以相互通信；属于不同名称树的服务器和用户需要交叉证书才能相互通信。

每次创建验证者标识时，Domino® 会创建验证者标识文件和“验证者”文档。标识文件中包含用于注册服务器和用户的标识。“验证者”文档作为验证者标识的记录，除其他内容之外，还存储验证者标识的分层名称、发布此验证者标识的验证者标识的名称、以及与此验证者标识相关的证书名称。

有两种类型的验证者标识：组织和组织单元。

• 组织验证者标识

  组织验证者显示在名称树的开始位置，并且通常是公司名称，例如 Renovations。设置第一台服务器时，服务器设置程序创建组织验证者并将组织验证者标识文件存储在 Domino® 数据目录中，同时将其命名为 CERT.ID。设置第一台服务器时，此组织验证者标识自动验证第一台 Domino 服务器的标识和管理员的用户标识。设置第一台服务器时，此组织验证者标识自动验证第一台 Domino® 服务器的标识和管理员的用户标识。

  如果您的公司较大并且分散，则在设置完服务器之后，可能需要使用 Domino® Administrator 创建第二个组织验证者标识，以便进一步区分名称，例如，区分子公司。

• 组织单元验证者标识

  组织单元验证者位于树的所有分支上，通常代表地域或部门名称，例如，East/Renovations 或 Sales/East/Renovations。可以在设置服务器的过程中选择创建第一层次的组织单元验证者标识，这样，服务器标识和管理员的用户标识是用组织单元验证者标记的，而不是组织验证者。如果在设置服务器的过程中未选择创建此组织单元验证者，以后随时可以使用 Domino® Administrator 进行此操作，但应记住重新验证服务器标识和管理员的用户标识。

  最多可创建四个层次的组织单元验证者。要创建第一层次的组织单元验证者标识，请使用组织验证者标识。要创建第二层次的组织单元验证者标识，请使用第一层次组织单元验证者标识，依此类推。

  使用组织单元验证者标识，可以通过向管理公司特定分支中的用户和服务器的管理员分发个人验证者标识来分散证书。例如，Renovations 公司有两个管理员。一个管理 West/Renovations 中的服务器和用户，只具有对 West/Renovations 验证者标识的访问权；另一个管理 East/Renovations 中的服务器和用户，只具有对 East/Renovations 验证者标识的访问权。

缺省情况下，服务器设置程序在被指定为 Domino® 数据目录的目录中存储验证者标识文件。使用 Domino® Administrator 创建其他组织验证者标识或组织单元验证者标识时，可以指定标识的存储位置。要确保安全性，请将验证者存储在安全位置，如锁定在安全区域中的磁盘上。

要为 HCL Notes®用户提供标识和密码恢复，需要为每个验证者标识设置恢复信息。要恢复用户标识文件，需要具有对验证者标识文件的访问权以指定恢复信息，同时用户标识文件自身必须是可以恢复的。可以通过三种方法来完成此任务：

• 在用户注册时，使用包含恢复信息的验证者标识创建标识文件。
• 从验证者标识文件中导出恢复信息，并让用户接受该信息。
• （仅适用于使用基于服务器的证书认证中心的服务器）向验证者添加恢复信息。然后，当现有用户访问主服务器时，其标识会自动得到更新。