設定網際網路網站文件的 Domino® 安全性
若要設定網際網路網站文件的安全性,可以啟用 SSL 伺服器及用戶端鑑別、名稱及密碼鑑別,或匿名存取網際網路及內部網路用戶端。
執行這項作業的原因和時機
若要讓網際網路網站啟用 SSL,請在「伺服器」文件中配置 SSL 埠,並向網際網路憑證管理中心取得伺服器憑證及金鑰環,以便在伺服器上設定 SSL。
若要設定 SSL 鑑別,必須為每一份網際網路網站文件建立一個伺服器金鑰環檔。不過,如果「網際網路網站」文件適用同一組織,但是是針對不同的通訊協定所建立,則可使用單一伺服器金鑰環檔。請確定在每一個網站文件的「安全性」標籤的適當欄位中,輸入伺服器的金鑰環檔名。
若想要使用「憑證廢止清單 (CRL)」進行網際網路憑證鑑別,伺服器必須使用 Domino® 伺服器型憑證管理中心來核發網際網路憑證。
完成這些步驟前,應熟悉 SSL 鑑別、名稱及密碼鑑別以及匿名存取。
程序
- 從「Domino® 管理員」中,按一下「」。
- 選擇您要修改的網際網路網站文件,再按一下「編輯文件」。
-
按一下「安全性」,並完成下列欄位:
表 1. 網際網路網站欄位的安全性和說明 欄位
說明
TCP 鑑別
匿名
(套用至所有網際網路網站,但 IMAP 與 POP3 除外)
請選擇其中一項:
- 是:可容許匿名存取此網站
- 否:禁止匿名存取
名稱及密碼
請選擇其中一項:
- 是:要求使用者以使用者名稱及網際網路密碼接受鑑別之後存取網站
- 否:不需要名稱及密碼的鑑別。
重新導向 TCP 到 SSL
(僅適用於「網站」)選擇下列其中之一:
- 是:要求用戶端及伺服器使用 SSL 通訊協定來存取網站
- 否:容許用戶端及伺服器使用 SSL 或 TCP/IP 來存取網站
SSL 鑑別
匿名
(套用至所有網際網路網站,但 IMAP 與 POP3 除外)
請選擇其中一項:
- 是:容許使用者未經過名稱及密碼的鑑別,由 SSL 埠存取
- 否:拒絕使用者匿名存取
名稱及密碼
請選擇其中一項:
- 是:要求使用者以使用者名稱及網際網路密碼接受鑑別之後使用 SSL 存取網站
- 否:不需要名稱及密碼。
用戶端憑證
(適用於網站、IMAP、POP3 及 LDAP)
請選擇其中一項:
- 是:需要用戶端憑證方能存取此網站
- 否:不需要用戶端憑證
SSL 選項
金鑰檔案名稱
輸入伺服器金鑰環檔案的名稱。
通訊協定版本
請選擇其中一項:
- 只有 V2.0:僅容許 SSL 2.0 連線
- V3.0 交互聯繫:試圖進行 SSL 3.0 連線。若失敗,且申請者偵測到 SSL 2.0,則會使用 SSL 2.0 試圖進行連線。
- 僅限 V3.0:僅容許 SSL 3.0 連接。
- V3.0 與 V2.0 交互聯繫:可嘗試 SSL 交互聯繫,即顯示相關的錯誤訊息。若可能的話請以 SSL 3.0 連接。
- 可協商的(預設值)試圖進行 SSL 3.0 連線。若失敗,則會試圖使用 SSL 2.0。除非出現因通信協定版本不相容所產生的連線問題,否則請使用此設定。
接受 SSL 網站憑證
請選擇其中一項:
- 是:可接受憑證及使用 SSL,即使伺服器並無與通訊協定伺服器共同的憑證
- 否(預設值):禁止接受 SSL 網站憑證的存取
接受逾時的 SSL 憑證
請選擇其中一項:
- 是:即使用戶端的憑證已過期,仍容許用戶端存取
- 否:禁止用戶端使用過期 SSL 憑證存取
檢查 CRL
請選擇其中一項:
- 是:檢查發證者「憑證革新清單」(CRL) 中您嘗試驗證的使用者憑證。若找到有效的 CRL,使用者憑證位於清單中,即拒絕使用者憑證。
- 否:不使用「憑證革新清單」。
信任過期 CRL
請選擇其中一項:
- 是:嘗試驗證使用者憑證時,使用過期但有效的「憑證革新清單」
- 否:拒絕過期的「憑證革新清單」
允許 CRL 搜尋失敗
請選擇其中一項:
- 是:若嘗試找出有效的「憑證革新清單」但失敗,則當成「檢查 CRL」設為「否」來進行。
- 否:若找不到使用者憑證的有效「憑證革新清單」,則拒絕憑證。若「信任過期 CRL」設定為「是」,則過期 CRL 有效。若「信任過期 CRL」設定為「否」,則找不到相符有效 CRL 的每筆使用者憑證鑑別都會失敗。
SSL 安全
SSL ciphers
按一下「修改」來變更此網站文件的 SSL 密碼設定。這些設定僅套用在 SSL v3。SSL v2 cipher 無法變更。
啟動 SSL V2
選擇「是」可啟用此網站文件的 SSL v2。
- 儲存文件。