建立Lotus Domino CA验证字权威

建立Lotus Domino CA验证字权威

SSL处理的好处：

数据加密提供信任

服务器和客户端使用数字签名进行相互验证

数字签名提供数据信任

SecureSocketsLayer 安全套接字层

S/MIME（SecureMultipurposeInternetMailExtensions）

提供发送和接收安全的MIME数据，是Notes R5用户签名和加密Internet Mail，使用X.509验证

“验证字权威”（CA，Certficate Authority）是一个允许服务器和客户机使用SSL进行通信以及使用S/MIME交换邮件的中介。

CA

用户

服务器

“验证字权威”一般由第三方提供，现用Domino环境模拟“验证字权威”

步骤：

一、建立CA验证字权威

1、建立“Domino 验证字权威”

2、创建CA密钥组

二、申请服务器证书

1、打开服务器验证字管理器

2、建立密钥组

3、创建验证字申请

4、Web向CA申请

5、Web服务器接受权威

6、合并

7、CA审批

8、Web从CA上提取

9、安装

10、 复制keyfile两个文件到

11、 激活端口

12、 选一个库，在数据库属性中设定SSL安全

13、 注册一个非Notes用户

三、申请客户机证书

1、 Web提交申请

2、 CA审批

3、 从CA中提取，成功后，在证书管理器中可以看到证书

具体操作

1、 创建“验证字权威”应用程序（数据库）（CA服务器）

使用服务器高级模板Domino R5验证字权威（CCA50.NTF）创建“验证字权威”应用程序CCA50.NSF

设置ACL:

CA验证字管理员，有“删除文档”的“编辑者”权限，并有CAPrivlegeUser 角色

-dafault- 的存取级别为“作者”并可以“创建文档”

2、 创建CA密钥组（CA服务器）

打开“Domino验证字权威”应用程序

单击“创建验证字权威密钥组和验证字”

密钥组文件名：Cakey.kyr

密钥组口令：password

公共名称：

组织：

省：至少3位

国家：两位

单击“创建验证字权威密钥组”按钮

3、 设置“服务器验证字管理”应用程序（Certsrv.nsf）（被访问服务器）

打开Certsrv.nsf数据库

设置ACL

-Default-为不能存取者

高级、Internet用户的最大权限为不能存取者

4、 创建服务器密钥组文件

创建密钥组：

密钥组文件名：keyfile.kyr

密钥组口令：password

公共名称：

组织：

省：

国家：

单击“创建密钥组”按钮

5、 向验证字权威申请SSL服务器验证字

单击“创建验证字请求”

密钥组文件名： d:\Lotus\Notes\Data\keyfile.kyr （刚创建的密钥组文件名）

单击“创建验证字请求”按钮

输入口令（服务器密钥组文件的口令）

复制密钥

确定

在Web上启动“Domino验证字权威”

[url]http://pthub/cca50.nsf[/url]

单击“申请服务器验证字”

全称：

电子邮件地址：

粘贴验证字请求

提交验证字请求

6、 作为信任根合并“验证字权威”验证字到服务器密钥组文件名

在Web上打开“Domino验证字权威”应用程序

单击“在您的服务器接受此权威”

将验证字拷贝到剪贴板

打开“服务器验证字管理”应用程序

单击“给密钥组安装信任的根验证字”

密钥组文件名：\Lotus\notes\data\keyfile.kyr

验证字标签：ebis

验证字来源：剪贴板

剪贴板：粘贴

单击“向密钥组合并信任根验证字”

输入口令：password

7、“验证字权威”批准服务器验证字请求。并发送可提取验证字的通知（CA服务器）

打开“Domino验证字权威”应用程序

单击“服务器验证字请求”

打开要签名的请求

记住提取的标识符

批准

输入口令

8、将服务器验证字合并到密钥组文件中（被访问服务器端）

在Web上打开“Domino验证字权威”应用程序

单击“提取服务器验证字”

输入“要提取的验证字标识符”

单击“提取签名的验证字”

拷贝验证字

打开“服务器验证字管理”应用程序

单击“给密钥组安装验证字”

密钥组文件名：Lotus\notes\data\keyfile.kyr

剪贴板：粘贴

单击“向密钥组合并验证字”

输入口令：password

9、 复制keyfile.*到\Lotus\Domino\data下

10、 配置SSL端口

打开服务器文档、端口、Internet端口

SSL密钥文件名：keyfile.kyr

接受SSL站点验证字：是

接受过期的SSL验证字：是

Web tab：

SSL端口号：443

SSL端口状态：启用

验证选项

客户验证字：是

名称和口令：否

匿名：否

11、 注册一个非Notes用户（testssl）

12、 在Web中，打开“Domino验证字权威”（用户端）

单击“在您的浏览器接受此权威”

下载CAOut.crt到本地

13、申请客户端验证字

在Web中打开“Domino验证字权威”

单击“申请客户端验证字”

添入申请信息（随意）

单击“提交验证字申请”

14、打开“Domino验证字权威”（CA服务器）

单击“客户端验证字请求”

打开具体请求

选中“在公用通讯录中注册验证字”

用户名：testssl

有效期：

记下提取的标识符

批准

输入口令

15、在Web中打开“Domino验证字权威”（用户端）

单击“提取客户端验证字”

输入提取标识符

单击“提取签名的验证字”

单击“接受验证字”

显示成功信息

在Web的工具、Internet选项、内容、证书中，可以见到证书

16、应用

非Notes用户testssl在Web中打开设定了SSL安全的数据库

具有证书的客户端可以打开该数据库

 本文转自 李晨光 51CTO博客，原文链接： http://blog.51cto.com/chenguang/84974 ，如需转载请自行联系原作者