在遠端 LDAP 目錄的目錄協助文件內設定 SSL
如果 HCL Domino® 伺服器使用遠端 LDAP 目錄在網際網路用戶端鑑別期間查閱認證,或在資料庫授權期間查閱群組成員,請指定伺服器使用 SSL 連接至 LDAP 目錄伺服器。指定 SSL,以確保 Domino® 伺服器與 LDAP 伺服器之間的通訊安全,而且 Domino® 伺服器可使用 X.509 憑證來驗證遠端 LDAP 目錄伺服器的身分。
執行這項作業的原因和時機
若要使用 SSL,請在遠端 LDAP 目錄的「目錄協助」文件的 LDAP 標籤上的「通道加密」欄位中選取 SSL。選取 SSL 時,您也必須為三個相關欄位選擇選項:
- 接受逾時的 SSL 憑證
- SSL 通訊協定版本
- 使用遠端伺服器的憑證來驗證伺服器名稱
程序
-
在「接受過期 SSL 憑證」欄位中,選擇其中一項:
- 「是」-(預設值)接受來自 LDAP 目錄伺服器的憑證,即使該憑證已到期。
- 「否」- 拒絕到期的憑證,提供更嚴密的安全性。
-
在「SSL 通訊協定版本」欄位中,選取要使用的 SSL 通訊協定版本號碼:
表 1. SSL 通訊協定版本號碼及說明 SSL 通信協定版本
說明
僅 2.0
僅容許 SSL 2.0 連線。
僅 3.0 交握式
嘗試 SSL 3.0 連接。若連接失敗且要求端偵測到 SSL 2.0,則會嘗試使用 SSL 2.0 來連接。
僅限 3.0
僅容許 SSL 3.0 連接。
V3.0 及 V2.0 交握式
嘗試 SSL 3.0 連接,但是以 SSL 2.0 交握式起始顯示相關錯誤訊息。若可能的話請以 SSL 3.0 連接。選擇「V3.0 及 V2.0 信號交換」,以接收連線嘗試期間可能發生的 V2.0 錯誤訊息。這些錯誤訊息可提供連接時找出之相容性問題的資訊。
已協議
允許 SSL 決定通訊協定版本與交握式。
-
在「使用遠端伺服器的憑證來驗證伺服器名稱」欄位中,選擇其中一項:
- 「已啟用」預設值)
- 取消
選擇「已啟用」,要求在遠端伺服器憑證的主旨行中包括 LDAP 目錄伺服器主機名稱。若要此選項正常運作,遠端伺服器憑證的主體行必須包括其 DNS 主機名稱。如果您確定遠端 LDAP 目錄伺服器的 X.509 憑證包含正確格式的遠端伺服器主機名稱,那麼請保持啟用此選項。
Domino® CA 與一些其他的 CA 會提供對話框,讓使用者於申請憑證時在其中輸入主旨行。例如,Domino®CA 會提示每一位使用者輸入遠端伺服器的資訊,如共同名稱、組織單位名稱、組織名稱、州(省)及國家/地區名稱。Domino® CA 會將此資訊放進主體行,並在每一個欄位中新增適當的字首(cn=、ou=、o= 等等)。如果已使用 Domino® CA 建立遠端伺服器憑證,請在使用「使用遠端伺服器憑證來驗證伺服器名稱」選項時,在共同名稱欄位中輸入遠端伺服器的主機名稱。例如,Domino®CA 容許使用者輸入下列有效主旨行(mail伺服器.renovations.com 是伺服器的 DNS 主機名稱):
cn=mail伺服器.renovations.com, ou=sales, ou=marketing, o=renovations, st=mass, c=us
cn=mail伺服器,ou=sales - mail伺服器.renovations.com o=renovations, st=mass, c=us
若要確保使用者輸入正確的 DNS 主機名稱,建議使用者在從 Domino® CA 申請憑證時輸入主機名稱作為共同名稱 (cn=)。其他 CA 可能會提供不同對話框讓您輸入此主體行;使用者必須依照這些對話框輸入遠端伺服器的 DNS 主機名稱。