设置 Notes® 客户机和因特网客户机以进行 SSL 客户机认证
可以设置 Notes® 客户机或因特网客户机以对服务器进行客户机认证。不能对 SMTP 和 IIOP 连接使用客户机认证。
关于此任务
要进行 SSL 客户机认证,Notes® 客户机或因特网客户机必须具有:
- Domino® 或第三方验证者发布的因特网证书。
- Domino® 或第三方验证者的可信根证书。
- (仅限 Notes® 客户机)根据可信根证书创建的针对 Domino® 或第三方验证者的交叉证书。创建交叉证书之后,Notes® 客户机不需要可信根证书。
- 支持使用 SSL 的软件,如 Web 浏览器或 Notes® 工作站。
如果 LDAP 客户机支持“简单认证和安全层”(SASL) 协议,那么在该客户机使用 SSL 客户机认证连接到服务器时,Domino® 将自动使用此协议。只能进行服务器认证的 TCP/IP 连接或 SSL 连接都不支持 SASL。
使用由 Domino® CA 发布的证书设置 Notes® 客户机
关于此任务
CA 和客户机应完成下列操作。
过程
- 发布证书之前,CA 必须确定是否应该使用 Notes® 标识文件中的现有公用密钥和专用密钥创建因特网证书,或者 CA 是否希望根据从浏览器证书请求所生成的新密钥发布证书。如果客户机使用支持 PKCS #12 的浏览器,客户机也可以将现有因特网证书导入到 Notes® 标识文件中。管理员可以依据环境为不同的用户使用上述选项的不同组合。
-
CA 将可信根证书添加到客户机可以访问的 Domino® 目录中。
客户机还可以将可信根证书添加到“联系人”中;但是,添加可信根证书可以简化为 SSL 设置 Notes® 客户机的过程,因为可信根可由许多客户机访问。
- 客户机使用 CA 的信任根证书创建交叉证书,并将其存储在“联系人”中。
-
要使用 Notes® 标识文件中的现有公用密钥和专用密钥创建证书:
- CA 将因特网证书添加到“个人”文档中。
- 客户机通过主服务器的认证。Notes® 自动将因特网证书添加到标识文件中。
-
使用新的公用密钥和专用密钥 创建因特网证书的过程如下:
- 客户机向 CA 请求因特网证书。
- CA 核准请求,然后 Domino® 自动将客户机的公用密钥添加到用户的“个人”文档中。
- 客户机将证书合并到标识文件中。
- CA 将因特网证书添加到用户的“个人”文档。
使用由 Domino® CA 发布的证书设置因特网客户机
过程
- CA 管理员为因特网客户机创建“个人”文档。
- 客户机为服务器的 CA 获取信任根证书。
- 客户机向 CA 请求因特网证书。
- CA 核准请求,然后 Domino® 自动将客户机的公用密钥添加到用户的“个人”文档中。
- 客户机将证书合并到本地文件中。
使用由第三方 CA 发布的证书设置 Notes® 客户机和因特网客户机
关于此任务
CA 和客户机应完成下列操作。
过程
- (仅适用于因特网客户机)CA 管理员为客户机创建“个人”文档。
- 客户机按照第三方 CA 所制定的程序请求并合并因特网证书(可以使用任一种浏览器)。
- 因特网客户机按照第三方 CA 制定的程序合并 CA 的信任根证书。
- CA 将客户机的公用密钥添加到“个人”文档中。
示例
例如,要从 VeriSign 获取因特网证书,请访问相关链接中的站点“SSL 认证中心和数字标识”,并遵循提供的指示信息。