憑證管理中心金鑰換用
HCL Domino® 管理員可將新的公開及私密金鑰組指派給 Domino® 憑證管理中心 (CA)。這些金鑰是用以認證該組織之 OU、伺服器及使用者的金鑰。指派新金鑰的程序即稱之為金鑰輪替。
執行這項作業的原因和時機
輪替 CA 金鑰可能是必要的,因為:
- 目前的金鑰太短,無法提供足夠的加密。較長的金鑰較安全,較不易遭竄改。最理想的 CA 金鑰應為 2048 或 4096 位元長。
- 目前的金鑰太舊。Current® Domino® CA 金鑰經常超過十年以上,一般會建議較短的金鑰生命期限。您可以在輪替時指定金鑰年限。
- 目前的私密金鑰值已遭洩漏。
當管理員將新的金鑰組指派給 Domino® CA 時,新的金鑰即會建立並自行認證,然後新增到 ID 檔擱置金鑰區的最上層發證者 ID 檔中。之前使用的金鑰會新增到 ID 檔的保存金鑰區,而鏈結新舊金鑰的輪替憑證則是新增到 ID 檔的輪替憑證區。
建立新金鑰與保存舊金鑰的時間範圍,會因處理 CA 金鑰輪替所用之方法不同而各異。如果執行認證的發證者 ID 檔用於 CA 金鑰輪替程序,即會立刻發生此狀況。但若使用 CA 程序,要一直到開啟輪替 CA 的 ID 檔以發出憑證後,才會發生此最終順序(無論何時完成,都會在使用者伺服器的目錄中搜尋要新增至發證者 ID 檔的新憑證)。
輪替憑證
執行這項作業的原因和時機
為支援發證者金鑰換用,Domino® 信任的模型已延伸為包括新憑證類型,即換用憑證。這是由實體簽發給自己的憑證。在階層式憑證中,有一個發證者名稱、一個主體名稱及一個主體金鑰。在換用憑證中,有一個名稱(同時是發行者及主旨)及兩個主旨金鑰:一個金鑰是用來簽署憑證,並證明主旨名稱為其他金鑰合法擁有。
一般而言,金鑰換用時會發出兩個換用憑證:一個由舊金鑰簽署,表示新金鑰是有效的;另一個則由新金鑰簽署,表示舊金鑰為有效。每個憑證都有自己的到期日。
為限制簽發給舊金鑰憑證的到期日,輪替憑證是必要的。輪替金鑰的理由之一,是原來的金鑰已遭洩漏,或至少被認為太舊,因可能已洩漏而令人難以接受。在此情況下,藉由限制輪種憑證中指定的到期日,即可能限制原簽發的子憑證年限,方法就是在輪替憑證中指定夠早的到期日。
發證者輪替程序
執行這項作業的原因和時機
輪替發證者會影響整個組織。一旦輪替發證者,您即必須輪替或重新認證所有的使用者 ID、伺服器 ID 以及交互認證該發證者簽發的憑證。
輪替整個客戶網站的最佳方法,是從主要憑證開始,並向下通過階層。從輪替根 CA 開始,再輪替 OU CA。然後再輪替伺服器及使用者金鑰。如果使用者或伺服器金鑰在上層 CA 之前即換用,則新使用者或伺服器金鑰將必須認證兩次:一次是使用現行(舊)CA 金鑰,第二次則是當 CA 金鑰換用時。額外的重新認證耗時又費力:使用者及伺服器重新認證需要管理員介入,還要抄寫「人員」及「伺服器」文件。
程序
- 首先,您必須指派新的金鑰組給發證者。
- 換用或重新認證該發證者所簽發的伺服器 ID。
- 換用或重新認證該發證者所簽發的使用者 ID。
- 重新認證該發證者所簽署的交互憑證。