為伺服器型 CA 建立發證者

您可為組織建立額外的 HCL Notes® 及網際網路發證者,然後將它們配置為使用 CA 程序。

建立 Notes® 發證者

執行這項作業的原因和時機

Notes® 會先建立發證者,然後移轉至 CA 處理程序。

程序

  1. 註冊額外組織發證者或組織單位發證者。
  2. 將發證者移轉到 CA 程序。

建立網際網路發證者

執行這項作業的原因和時機

使用 CA 程序建立及註冊網際網路發證者。

程序

  1. 從「HCL Domino® 管理員」中,按一下「配置」
  2. 「工具」窗格中,選取「註冊 > 網際網路發證者」。
  3. 在「註冊網際網路發證者」對話框中,選取「我想要註冊使用 CA 程序的新網際網路發證者」
  4. 在「註冊新的網際網路發證者」對話框中,按一下「基本」
  5. 建立發證者名稱。指定一般名稱及至少一個其他元件:
    • 一般名稱:輸入發證者名稱。
    • 組織單位(選用):輸入發證者組織單位的名稱(若適用)。
    • 組織(選用):輸入發證者的組織名稱。
    • 城市或區域(選用):輸入組織的城市或區域。
    • 州或省(選用):輸入組織所在的州或省的全名。
    • 國家(選用):輸入組織所在的國家的兩個字元縮寫。
  6. 選擇正在執行 CA 程序的伺服器。這也是將會建立 ICL 資料庫的同一個伺服器。
  7. 選擇性的: 修改預設 ICL 資料庫名稱(例如:icl\icl_Renovations.nsf)。
    註: 建議使用預設目錄結構。
  8. 針對「加密發證者 ID」,選取一項:
    1. 發證者 ID 加密選項

    選項

    安全性層次

    需要的密碼

    需要的動作

    使用伺服器 ID 來加密 ID

    最低

    需要密碼才能啟動

    中等

    伺服器 ID 密碼

    如果您選擇使用密碼,就必須啟動發證者。使用 tell 指令:

    tell ca activate password

    使用鎖定 ID 來加密 ID

    最高

    已註冊的使用者 ID 和密碼

    若您選擇以鎖定 ID 為發證者 ID 加密,則發證者在被您解除鎖定前,都將處於鎖定狀態。使用 tell 指令:

    tell ca unlockidfilepassword
    註: 使用受密碼保護的「伺服器 ID」來加密發證者 ID 只會保護該發證者。如果您使用鎖定 ID,則您可以選擇使用於多個發證者。然後,您需要同時鎖定及解除鎖定這些發證者。
  9. 選擇性的: 「管理員」清單中,輸入其他 CAA 及 RA 的名稱。建立 CA 的管理員名稱會作為 CA 管理員及 RA 管理員自動併入到清單中。
  10. 「憑證」標籤上,完成下列欄位:
    2. 要完成的「憑證」標籤欄位

    欄位

    動作

    包含 CRL 配送點擴充

    啟用可識別發證者 CRL 位置的屬性。建議您使用此選項,如此就可以在發送憑證後,將其撤銷。預設為啟用。

    截止日憑證有效性

    憑證有效期間為 CA 授權將保留憑證狀態之相關資訊期間的時間間隔。在憑證變為有效之日期的事件中,與其建立的日期不同,您可以選擇回溯至憑證的有效期間。預設會啟用此選項。您無法輸入日期。

    憑證持續時間

    輸入預設、最小及最大憑證持續時間(以月為單位)。

    金鑰用法

    選擇此憑證的金鑰用法擴充。

    註: 您可以建立的唯一憑證類型(其為一般實體憑證),並且預設會啟用此選項。這表示此發證者發出的網際網路憑證適用於憑證的使用者及/或一般使用者系統,他們是憑證的主旨。
  11. 按一下「細項」,然後按一下「建立發證者 ID 的本端副本」。指定發證者 ID 檔的名稱及密碼,然後按一下「確定」。發證者 ID 的副本會儲存到預設路徑 ...\notes\data\ids\certs\cert.id。您可以選取不同路徑。將此發證者 ID 的本端副本用作備份,以在發證者損毀時重新建立它。
  12. 完成下列欄位,以對這個發證者指定「憑證撤銷清冊」資訊:
    3. 「憑證撤銷清冊」欄位
    欄位 動作
    CRL 持續時間(以天數為單位) 輸入給定 CRL 有效的時間長度(以天數為單位)。建議此時段超出發出 CRL 之間的時段,因為這會確保 CRL 一直有效。
    CRL 之間的時間(以天數為單位) 輸入發出 CRL 之間的時間間隔(以天數為單位)。
  13. 完成下列欄位,以對這個發證者指定「金鑰及發證者憑證」資訊:
    4. 「金鑰及發證者憑證」欄位
    欄位 動作
    簽署演算法 選取用於加密憑證簽名的演算法。
    金鑰長度 輸入用於加密的金鑰長度。此設定決定可以代表加密金鑰之任何可能值所需要的位元數。金鑰長度越長,解密加密的文字就越困難。
    憑證有效期限 (選用)變更預設憑證有效期限。
  14. 完成下列欄位,以對這個發證者指定「發證者 PKIX 替代名稱」資訊:
    5. 「發證者 PKIX 替代名稱」資訊欄位
    欄位 動作
    類型 輸入要使用的替代名稱類型。
    輸入要使用的替代名稱。
    註: 「PKIX 替代名稱」與 Notes® 替代名稱不同。Notes® 替代名稱是外文版的使用者名稱。
  15. 按一下「確定」

結果

即會出現訊息,說明您已成功設定了 CA。

下一步

完成下列程序: