設定網際網路憑證中心

安全性計劃中的重要區域,決定是否及如何設定憑證管理中心以發出網際網路憑證。憑證管理中心 (CA) 或發證者是發出及維護數位憑證的信任管理工具。憑證會驗證個人、伺服器或組織的身分,並允許它們使用 SSL 來通訊,及使用 S/MIME 來交換郵件。憑證由發證者的數位簽章來籤記,這會向憑證的收件者保證憑證的擁有者是憑證中命名的實體。

憑證亦會發出信任根憑證,這會讓具有不同 CA 建立之憑證的用戶端及伺服器相互通訊。

註: 區別 Notes® 發證者與網際網路發證者十分重要。當您在網域中安裝及設定第一部 Domino® 伺服器時,Notes® 發證者會自動設定為向 Notes® 用戶端發出 Notes® 憑證。如果 Notes® 用戶端使用這些憑證向 Domino® 伺服器進行鑑別,或 Domino® 伺服器使用這些憑證彼此進行鑑別,則這些憑證就十分重要。因此,即使在具有所有網路用戶端的環境中,Notes® 發證者仍然很重要。網際網路發證者 (如此處所說明) 會發出網際網路 (X.509) 憑證,這是透過網際網路進行安全通訊所必要的。您可視需要設定網際網路發證者。

為組織選擇正確的網際網路發證者

您有數個選項可用來為組織設定網際網路發證者 (對於本主題的其餘部分,發證者的所有參考表示「網際網路」發證者)。您可以使用協力廠商的商業發證者(如 VeriSign),也可以使用 Domino® 網際網路發證者之兩個類型中的一個。每種類型的發證者都有其優點與缺點;您所作出的選擇應由組織的業務需求,及管理發證者所使用的時間與資源來決定。

網際網路發證者:Domino® 比作協力廠商

1. 網際網路發證者

網際網路發證者類型

好處

Domino® 發證者
  • 可避免協力廠商發證者對發出及更新用戶端與伺服器憑證酌收的費用。
  • 許多管理員已很熟悉 Domino®,無需使用協力廠商發證者所需要的額外訓練。
  • 視需要,更簡易更快速地設定及部署新的憑證。

協力廠商發證者 (VeriSign。BRSA 等)
  • 可簡化用戶端配置。如果您從所使用的瀏覽器預先配置為信任的發證者取得憑證,則其會在用戶端配置中儲存步驟。
  • 同樣地,如果發證者在您與其交換 S/MIME 郵件之外部業務的郵件用戶端被預先配置為信任,則它將為這些用戶端儲存配置步驟。

Domino® 網際網路發證者:比作 Domino® 5 憑證權限的伺服器型憑證權限

您可以選擇設定使用伺服器型 CA 程序的 Domino® 憑證權限,或使用 CA 金鑰環的 Domino® 5 憑證權限。

2. Domino® 網際網路發證者

Domino® 網際網路發證者類型

好處

伺服器端憑證管理中心
  • 管理員可以透過 CA 程序來同時管理 Notes® 及網際網路發證者。
  • 發出與安全性工業標準 (如 X.509v3 及 PKIX) 相容的網際網路憑證。
  • 無需發證者 ID 及 ID 密碼的管理員存取權,即可註冊使用者及伺服器。這可讓管理員委派這些作業,而不會潛在地威脅發證者。
  • 支援 PKIX 註冊管理中心 (RA) 角色,這可讓管理員委派憑證核准/拒絕處理。
  • 發出憑證革新清單 (CRL),該清單包含已取消或已到期之網際網路憑證的資訊。
  • 如果您計劃使用「網路管理員」用戶端來註冊 Notes® 使用者,則為必要。

Domino® 5 憑證管理中心
  • 提供設定網際網路發證者來進行測試或簡介的簡單方法。

在網域中使用兩種類型的 Domino® 網際網路 CA

網域中可能有兩種類型的發證者:CA 程序及 CA 金鑰環。不過,您必須注意不能讓既使用金鑰環又使用 CA 程序的發證者發出網際網路憑證。啟用 CA 程序的發證者,會追蹤在「已發出的憑證清單」(可存取網域中所有伺服器的資料庫)中發出的憑證。另一方面,金鑰環樣式發證者會建立在任何一個工作站上所使用的日誌,因此沒有已發出憑證的集中式清單(僅有多個部分清單)。所以,CA 金鑰環將不會辨識使用 CA 程序而發出的任何憑證,與如同 CA 程序不會辨識使用 CA 金鑰環檔所建立的任何憑證一樣。

這特別是對於網際網路發證者是個問題,因為可能會取消伺服器端憑證管理中心的網際網路憑證。不過,若要取消網際網路憑證,您必須在 ICL 中選取它。如果使用金鑰環來起始發出憑證,則它將不會出現在 ICL 中,因此無法取消它。

所以,強烈建議您選擇一種方法,為每個發證者執行 CA 程序或 CA 金鑰環。