使用者及伺服器金鑰換用

金鑰換用是一個程序,用來更新儲存在使用者及伺服器 ID 檔中的一組 Notes® 公開及私密金鑰。這組金鑰可能必須定期更換,預防未偵測到的私密金鑰妥協情況發生;補救從已知的私密金鑰妥協進行還原的情況;或是更新為更大型的金鑰以增加安全性。

執行這項作業的原因和時機

您可以透過「安全設定」原則文件,配置觸發初始化使用者金鑰換用的條件,而對於伺服器金鑰換用則是在「伺服器」文件中進行。觸發條件包括:

  • 現有的金鑰大小
  • 現有金鑰的發出日期
  • 現有金鑰的存留時間

管理員可以使用金鑰換用,透過安全性設定原則文件將取代金鑰部署到使用者群組。

Notes® 使用者也可透過「使用者安全性」對話框上的「建立新的公開金鑰」按鈕,觸發金鑰換用。如果選擇「鑑別通訊協定」作為憑證申請方法,就會如同由原則設定觸發而換用現行金鑰。如果選擇「郵件通訊協定」,就會使用 Domino® 6 及更舊版本的郵寄方法。如需使用者如何觸發金鑰換用的相關資訊,請參閱相關鏈結。

原則已經建立,或是使用者已透過「使用者安全性」對話框觸發金鑰換用時,下次使用者對起始伺服器進行驗證時,就會將金鑰換用資訊寫入 ID 檔案中。當發生觸發條件,而且使用者接受提示以容許金鑰換用時,就會起始金鑰換用,在使用者 ID 檔案中建立新的金鑰並標示為擱置中。當使用者在新/擱置中金鑰產生之後,透過起始伺服器進行認證時,就會在「管理要求」資料庫中建立「認證新金鑰要求」

完成金鑰換用程序:

程序

  1. 在「Domino® 管理員」中,開啟「管理要求」資料庫。
  2. 「認證新金鑰要求」視圖中,選取使用者的要求,然後按一下「認證選取的項目」
  3. 在「選擇發證者」對話框中,執行下列其中一項:
    • 如果您使用的是以伺服器為依據的憑證管理中心,請從下拉清單中選擇。
    • 如果您使用的是發證者 ID,請提供發證者 ID 位置及密碼。

    完成該要求且已認證新的金鑰時,就會使用新的金鑰及認證資訊來更新「人員」文件。

  4. 在「憑證有效期限」對話框中,驗證日期無誤,然後按一下「確定」
  5. 在「處理統計資料」對話框中,驗證未發生失敗,然後按一下「確定」

結果

當使用者接下來透過起始伺服器進行認證時,即會出現一個對話框,詢問新的使用者是否要接受新的公開金鑰。使用者必須按一下「確定」以接受新的憑證。使用者 ID 檔案中的新/擱置中金鑰就會啟動,並保存舊的金鑰。

註: 保存的金鑰會保留在 ID 檔案中,如此可用來將使用該金鑰加密的文件解密。

配置伺服器金鑰換用

程序

  1. 在「伺服器」文件中,按一下「管理」
  2. 完成下列欄位:
    1. 公開金鑰需求欄位

    欄位

    動作

    可容許金鑰強度下限

    為伺服器 ID 指定所允許保護力最弱的金鑰大小。凡是弱於此的金鑰都會予以換用。

    • 無最小值(預設值)
    • 與所有版次相容(630 位元)。
    • 與第 6 版與以上的版本相容(1024 位元)。
    • 與第 7 版以及更新版本相容(2048 位元)。

    可允許的金鑰強度上限

    指定所容許保護力最強的金鑰大小。保護力比此更強的金鑰將會被換用。

    • 與所有版次相容(630 位元)。
    • 和第 6 版與以上的版本相容(1024 位元)(預設值)。
    • 與第 7 版以及更新版本相容(2048 位元)。

    喜好的金鑰強度

    指定金鑰被換用時要使用的金鑰強度:

    • 與所有版次相容(630 位元)。
    • 和第 6 版與以上的版本相容(1024 位元)(預設值)。
    • 與第 7 版以及更新版本相容(2048 位元)。

    金鑰的最大允許經歷時間

    指定在需要輪替前,金鑰可達到的經歷時間上限(以天數為單位)。預設值為 36500 天(100 年)。

    最早的可容許金鑰建立日期

    在此日期前建立的任何金鑰將被替換。

    請勿自動產生新的金鑰,直到

    指定金鑰不符合金鑰寬度需求而可被換用的最早日期

    建立新金鑰後,舊金鑰仍為有效的天數上限

    指定在網路驗證期間,可使用舊金鑰的時間長短。在 Notes® 金鑰驗證期間,會將所有的新舊憑證以及所有換用金鑰組織成樹狀結構。在該樹狀結構中會進行周遊,以搜尋可相互鏈結以驗證金鑰的一組憑證。若憑證已到期,則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用,最好能設定一個簡短的值,作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天,而預設值為 365。

  3. 關閉並儲存文件。金鑰換用資訊會寫入伺服器 ID 檔案。當發生觸發條件時,就會初始化金鑰換用,在伺服器 ID 檔案中建立新的金鑰並標示為擱置中。
  4. 重新啟動伺服器。
  5. 在「Domino® 管理員」中,開啟「管理要求」資料庫。
  6. 「認證新金鑰要求」視圖中,選取伺服器的要求,然後按一下「認證選取的項目」
  7. 在「選擇發證者」對話框中,執行下列其中一項:
    • 如果您使用的是以伺服器為依據的憑證管理中心,請從下拉清單中選擇。
    • 如果您使用的是發證者 ID,請提供發證者 ID 位置及密碼。
  8. 在「憑證有效期限」對話框中,驗證日期無誤,然後按一下「確定」
  9. 在「處理統計資料」對話框中,驗證未發生失敗,然後按一下「確定」
  10. 在伺服器主控台鍵入 tell adminp process all,以完成金鑰憑證處理。
  11. 鍵入 重新啟動 伺服器

結果

重新啟動伺服器,可使伺服器讀取它的資訊,並接受新的認證金鑰。