發證者 ID 與憑證

「發證者 ID」與憑證是構成 HCL Domino® 安全性的基礎。若要在組織的階層式名稱綱目中正確地置放伺服器及使用者,您必須在名稱樹的每一個節點上建立發證者 ID。您在伺服器及使用者註冊期間使用發證者,以定義所屬組織的憑證「標記」各個伺服器 ID 及使用者 ID。隸屬同一名稱樹系的伺服器和使用者能彼此通訊;若分屬不同的名稱樹,則需交互憑證才能彼此通訊。

註: 如果您已將發證者移轉至一個 Domino® 伺服器型的憑證權限 (CA),則不需要標記各個伺服器 ID 及使用者 ID,就可以註冊伺服器及使用者。

每建立一個發證者 ID,Domino® 就會建立一個發證者 ID 檔和「發證者」文件。ID 檔包含您註冊伺服器和使用者時所使用的 ID。「發證者」文件的角色為發證者 ID 的記錄,並儲存其階層式名稱、發證者 ID 的名稱、及與其相關的憑證名稱。

註: 在伺服器設定期間,您可以使用現有的發證者 ID,而不是建立新 ID。您所指定的發證者 ID 無法指派多個密碼。嘗試讓使用者在發證者 ID 中具有多個密碼,會產生訊息並導致伺服器設定為中止。

發證者 ID 有兩種類型:組織及組織單位。

  • 組織發證者 ID

    組織發證者出現在名稱樹狀結構的開頭,通常是公司名稱:例如 Renovations。設定第一部伺服器時,「伺服器設定」程式建立組織發證者,並於 Domino® 資料目錄中儲存組織發證者 ID 檔,其檔名為 CERT.ID。設定第一部伺服器時,組織發證者 ID 會自動地認證第一個 Domino® 伺服器 ID 及管理員的使用者 ID。

    若貴公司規模很大且分散,您也許會想在伺服器設定之後使用「Domino® 管理員」建立第二個組織發證者 ID,以進一步區別名稱,如區別子公司間的名稱。

  • 組織單位發證者 ID

    組織單位發證者則位於樹系的所有分支上,通常是地區或部門名稱,如 East/Renovations 或 Sales/East/Renovations。若您選擇要在伺服器設定時建立第一層級組織單位發證者 ID,則伺服器 ID 及管理員使用者 ID 是以組織單位發證者做標記(而不是用組織發證者)。如果您選擇不要在伺服器設定時建立此組織單位發證者,則之後隨時可以使用「Domino® 管理員」這樣做,只是要記得重新認證伺服器 ID 與管理員的使用者 ID。

    您最多可以建立四層組織單位發證者。若要建立第一層組織單位發證者 ID,請使用組織發證者 ID。若要建立第二層組織單位發證者 ID,則可使用第一層的組織單位發證者 ID,以此類推。

    使用組織單位發證者 ID,您可以藉由將個別的發證者 ID 配送給管理公司特定分支的使用者及伺服器的管理員,以進行分散認證。例如,Renovations 公司有兩個管理員。其中一個管理 West/Renovations 的伺服器及使用者,只能存取 West/Renovations 發證者 ID;另一個管理 East/Renovations 伺服器及使用者,只能存取 East/Renovations 發證者 ID。

依預設,「伺服器設定」程式會在您指定的 Domino® 資料目錄中儲存發證者 ID 檔。使用「Domino® 管理員」建立另一個組織發證者 ID 或組織單位發證者 ID 時,您可以指定要儲存 ID 的地方。若要保障安全性,則將發證者儲存在安全的位置:例如,將磁碟鎖在一個安全的區域。

若要提供 HCL Notes® 使用者 ID 及密碼回復,您必須設定各發證者 ID 的回復資訊。能夠回復使用者 ID 檔案之前,您必須存取發證者 ID 以指定回復資訊,而使用者 ID 檔本身也必須是可回復的。有三種作法:

  • 使用者註冊時,建立具有一個發證者 ID 的 ID 檔,並包含回復資訊。
  • 由發證者 ID 檔匯出回復資訊,並讓使用者接受它。
  • (僅針對使用伺服器端憑證權限的伺服器)將回復資訊加入至發證者。於是,現有使用者認證其起始伺服器時,他們的 ID 會自動更新。