設定 Notes® 及網際網路用戶端以進行 SSL 用戶端鑑別

您可以設定 Notes® 或網際網路用戶端,與伺服器進行用戶端鑑別。無法使用 SMTP 及 IIOP 連線的用戶端認證。

執行這項作業的原因和時機

對於 SSL 用戶端鑑別,Notes® 或網際網路用戶端必須具有下列各項:

  • Domino® 或第三方發證者發出的網際網路憑證。
  • Domino® 或第三方發證者的授信主要憑證。
  • (僅限 Notes® 用戶端)從授信主要憑證建立的 Domino® 或第三方發證者的交互憑證。建立交互憑證之後,Notes® 用戶端就不再需要授信主要憑證。
  • 支援使用 SSL 的軟體,如網路瀏覽器或 Notes® 工作站。

如果 LDAP 用戶端支援 Simple 鑑別 和 安全 Layer (SASL) 通訊協定,則用戶端使用 SSL 用戶端鑑別來連接伺服器時,Domino® 會自動使用此通訊協定。SASL 不支援僅進行伺服器認證的 TCP/IP 連線或 SSL 連線。

Domino® CA 發出的憑證設定 Notes® 用戶端

執行這項作業的原因和時機

CA 及用戶端會完成下列步驟。

程序

  1. 發出憑證之前,CA 必須決定是否應該使用 Notes® ID 檔案中現有的公開及私密金鑰來建立網際網路憑證,或者 CA 是否要根據瀏覽器憑證申請所產生的新金鑰來發出憑證。如果用戶端使用支援 PKCS #12 的瀏覽器,則用戶端也可以將現有的網際網路憑證匯入 Notes® ID 檔案。視環境而定,管理員可以為不同使用者選擇使用這些選項的組合。
  2. CA 會將授信主要憑證新增至用戶端可以存取的「Domino® 名錄」。

    用戶端也可以將授信主要憑證新增至「聯絡人」;然而,因為許多用戶端都可以存取授信主要憑證,所以新增授信主要憑證可以簡化 SSL 的 Notes® 用戶端設定程序。

  3. 用戶端會利用 CA 的授信主要憑證來建立交互憑證,並儲存在「聯絡人」中。
  4. 若要使用 Notes® ID 檔案中現有的公開及私密金鑰來建立憑證:
    1. CA 會將網際網路憑證新增至「人員」文件。
    2. 用戶端以起始伺服器進行認證。Notes® 會自動將網際網路憑證新增至 ID 檔案。
  5. 若要使用新公開及私密金鑰來建立網際網路憑證,請執行下列步驟:
    1. 用戶端會要求來自 CA 的網際網路憑證。
    2. CA 會核准申請,而 Domino® 會自動將用戶端的公開金鑰新增至使用者的「人員」文件。
    3. 用戶端會將憑證合併到 ID 檔。
    4. CA 會將網際網路憑證新增至使用者的「人員」文件。

Domino® CA 發出的憑證設定網際網路用戶端

程序

  1. CA 管理員會建立網際網路用戶端的「人員」文件。
  2. 用戶端會取得伺服器 CA 的授信主要憑證。
  3. 用戶端會要求來自 CA 的網際網路憑證。
  4. CA 會核准申請,而 Domino® 會自動將用戶端的公開金鑰新增至使用者的「人員」文件。
  5. 用戶端會將憑證合併到本端檔案。

以第三方 CA 發出的憑證設定 Notes® 及網際網路用戶端

執行這項作業的原因和時機

CA 及用戶端會完成下列步驟。

程序

  1. (僅限網際網路用戶端)CA 管理員會建立用戶端的「人員」文件。
  2. 使用任何瀏覽器,用戶端都會遵循協力廠商 CA 的既有程序,以要求及合併網際網路憑證。
  3. 網際網路用戶端依循協力廠商 CA 的既有程序,為 CA 合併授信重要憑證。
  4. CA 會將用戶端的公開金鑰新增至「人員」文件。

範例

例如,若要取得來自 VeriSign 的網際網路憑證,請造訪相關鏈結中的網站「SSL 憑證管理中心和數位 ID」,並遵循所提供的指示。