在远程 LDAP 目录的目录辅助文档中配置 SSL

如果 HCL Domino®服务器使用远程 LDAP 目录在因特网客户机认证期间查找凭证,或在数据库授权期间查找组成员,应指定服务器使用 SSL 连接到 LDAP 目录服务器。指定 SSL 可使 Domino® 服务器和 LDAP 服务器之间进行安全通信,并且 Domino® 服务器可以使用 X.509 证书来验证远程 LDAP 目录服务器的身份。

关于此任务

要使用 SSL,请在“目录辅助”文档的 LDAP 选项卡上的通道加密字段中,为远程 LDAP 目录选择 SSL。如果选择了 SSL,还必须在三个相关字段中作出选择:

  • 接受到期的 SSL 证书
  • SSL 协议版本
  • 使用远程服务器的证书验证服务器名称

过程

  1. 接受到期的 SSL 证书字段中,选择以下某个选项:
    • -(缺省值)接受来自 LDAP 目录服务器的证书,即使证书已到期。
    • - 拒绝到期的证书,这可提供更高安全性。
  2. SSL 协议版本字段中,选择要使用的 SSL 协议的版本号:
    1. SSL 协议版本号和描述

    SSL 协议版本

    描述

    仅 V2.0

    仅允许 SSL 2.0 连接。

    V3.0 握手

    尝试 SSL 3.0 连接。如果连接失败,且请求者检测到了 SSL 2.0,那么将尝试使用 SSL 2.0 进行连接。

    仅 V3.0

    仅允许 SSL 3.0 连接。

    V3.0 与 V2.0 握手

    尝试 SSL 3.0 连接,但以 SSL 2.0 握手开始,SSL 2.0 将显示相关的错误消息。如果可以,将建立 SSL 3.0 连接。选择 V3.0 与 V2.0 握手可接收尝试连接期间可能出现的 V2.0 错误消息。这些错误消息可以提供有关兼容性问题(在连接过程中发现的)的信息。

    协商

    允许 SSL 确定协议版本和握手。

  3. 使用远程服务器的证书验证服务器名称字段中,选择以下某个选项:
    • 启用(缺省值)
    • 禁用

    选择启用将需要远程服务器证书的主题行中包含 LDAP 目录服务器主机名。要使此选项功能正常,远程服务器证书的主题行中必须包含其 DNS 主机名。如果肯定远程 LDAP 目录服务器的 X.509 证书中包含正确格式的远程服务器主机名,请保持启用此选项。

    Domino® CA 和其他一些 CA 会提供一个对话框,用户在请求证书时可在其中输入主题行。例如,Domino® CA 提示每个用户输入远程服务器信息,如公共名称、组织单元名称、组织名称、省/自治区/直辖市和国家或地区名称。Domino® CA 会将此信息放入主题行,并向每个字段中添加相应的前缀(cn=、ou=、o= 等)。如果是使用 Domino® CA 创建的远程服务器证书,那么在使用使用远程服务器的证书验证服务器名称选项时,请在“公共名称”字段中输入远程服务器的主机名。例如,Domino® CA 允许用户输入以下有效主题行(mailserver.renovations.com 是服务器的 DNS 主机名):

    cn=mailserver.renovations.com, ou=sales, ou=marketing, o=renovations, st=mass, c=us

    cn=mailserver, ou=sales - mailserver.renovations.com o=renovations, st=mass, c=us

    要确保用户正确地输入 DNS 主机名,当用户向 Domino® CA 请求证书时,建议将 DNS 主机名作为公共名称 (cn=) 输入。其他 CA 可能会提供不同的对话框用于输入主题行;用户必须根据这些对话框输入远程服务器的 DNS 主机名。