簽署網際網路用戶端憑證並將憑證新增至 Domino® 名錄
CA 簽署網際網路用戶端憑證時,CA 會將數位簽章新增至憑證,而且如果您是使用 Domino® CA,則會將公開金鑰新增至「Domino® 名錄」。如果您是使用第三方 CA,則必須完成額外的步驟,才能將公開金鑰新增至「Domino® 名錄」。
執行這項作業的原因和時機
如果您是使用 Notes® 用戶端,且 CA 已在「Domino® 名錄」的「人員」文件中憑證,就不需要完成這些步驟。使用者鑑別伺服器時,Notes® 會自動將儲存在「人員」文件中的網際網路憑證新增至 Notes® ID 檔案。
簽署以及將網際網路用戶端憑證新增至「Domino® 名錄」時所遵循的步驟,是視憑證是由 Domino® 伺服器型憑證管理中心、Domino® 5 憑證管理中心還是第三方 CA 發出而定。
核准以簽署用戶端憑證之前,請:
- 確定您瞭解組織簽署憑證的策略。如果憑證申請符合組織的安全原則,請為用戶端簽署用戶端憑證。
- 請確定您已在伺服器上設定「管理程序」。如果為網際網路用戶端簽署憑證,請確定已建立「個人」文件。
Domino® 伺服器型憑證管理中心
執行這項作業的原因和時機
由 Domino® CA 完成步驟。您必須是註冊管理中心 (RA),才能核准簽署的用戶端憑證。
程序
- 從「Domino® 管理員」中,按一下「檔案」,然後開啟「Domino® 憑證申請」應用程式。
-
將憑證申請傳送到「管理要求」資料庫。
- 在「憑證申請」資料庫中,開啟「擱置/提交要求」視圖。如果用戶端要求未出現,請按 F9 重新整理視圖。
- 如果視圖顯示要求已「提交給管理程序」,請繼續下一個步驟。如果要求仍處於「擱置」狀態,請強調顯示要求並按一下「提交選取的要求」。
- 您應該看到「已成功提交 1 個要求給管理程序」訊息。按一下「確定」。
-
核准或拒絕要求。
- 開啟「管理要求」資料庫(ADMIN4.NSF),然後開啟「憑證管理中心申請/憑證申請」視圖,並尋找新的用戶端申請。
- 開啟要求,驗證其中的資訊。
- 按一下「編輯要求」,然後按一下「核准要求」或「拒絕要求」。按 F9 鍵,確定要求的狀態從「新增」變更為「已核准」(或「已拒絕」)。
-
將憑證申請傳送到「管理要求」資料庫之外。
- 關閉「管理要求」資料庫,返回「憑證申請」資料庫。
- 開啟「已發出/拒絕的憑證」視圖,然後尋找用戶端要求(可能需要重新整理視圖)。
-
通知要求用戶端憑證的使用者。
- 如果啟用完成用戶端要求時傳送電子郵件確認的選項,這一次,CA 會自動通知要求者挑選憑證。如果拒絕,會向要求者傳送電子郵件,指出要已拒絕要求。
- 如果未啟用完成用戶端要求時傳送電子郵件確認的選項,則需要按一下「傳送確認郵件」,以向要求者通知結果。
結果
註: 如果「憑證申請」資料庫配置為自動處理要求,則資料庫會自動將用戶端要求傳送至「管理要求」資料庫。「註冊管理中心」僅核准或拒絕要求。
Domino® 5 憑證管理中心
執行這項作業的原因和時機
網際網路憑證申請會顯示在「Domino® 憑證管理中心」應用程式的「用戶端憑證申請」視圖中。CA 簽署憑證時,CA 會自動將電子郵件傳送至用戶端。此電子郵件說明挑選憑證的位置,並包含挑選 ID,用戶端在挑選期間必須使用該 ID 來識別憑證。Domino® 會自動產生挑選 ID。
註: 下列步驟適用於簽署 Domino® CA 所發出的用戶端憑證。由 Domino® CA 完成步驟。
程序
- 從「Domino® 管理員」中,按一下「檔案」,然後開啟「Domino® 憑證管理中心」應用程式。
- 按一下「用戶端憑證申請」。
- 開啟欲簽署的要求。
- 檢查使用者資訊及識別名稱。請確定所提供的資訊符合組織的安全策略。
-
保留選取「在 Domino 名錄中登錄憑證」選項,以自動將用戶端的公開金鑰新增至「人員」文件。
如果您想要拒絕要求,請完成步驟 6。否則,請跳至步驟 7。
-
若要拒絕要求:
- 輸入拒絕要求的理由。
- 如果不想傳送人員電子郵件,請取消選取「將通知電子郵件傳送給要求者」。否則,「Domino® 憑證管理中心」應用程式會傳送人員電子郵件,指出您拒絕要求,以及拒絕要求的原因。
- 按一下「拒絕」。
-
若要核准要求:
協力廠商 CA
執行這項作業的原因和時機
如果使用者透過 Notes® 用戶端從第三方 CA 取得網際網路憑證,則該憑證會自動新增至其「人員」文件。
如果使用者透過瀏覽器從第三方 CA 取得網際網路憑證,則然後必須將該憑證新增至「個人」文件。