Domino® 伺服器型憑證管理中心
您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者,以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino® 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時,為了充分運用 CA 處理程序活動,您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行;不過,可以將該程序鏈結到多個發證者。
您可以將 Notes® 和網際網路發證者都設定為使用 CA 處理程序。Notes® 發證者會進行登錄,然後移轉至 CA 處理程序。但是網際網路發證者是使用 CA 程序來建立及註冊。
請考慮使用 CA 程序,因為它:
- 提供統一的機制,以發出 Notes® 和網際網路憑證。
- 支援註冊管理中心 (RA) 角色,您可以使用該角色來將憑證核准/拒絕程序委派給組織中的較低層管理員。
- 不需要對發證者 ID 及 ID 密碼的存取權。為 CA 程序啟動發證者之後,可以將註冊管理中心角色指派給管理員,然後管理員可以管理憑證申請而不必提供發證者 ID 及密碼。
- 透過網路型憑證申請資料庫簡化網際網路憑證申請程序。
- 發出憑證革新清單,該清單包含取消網際網路憑證的相關資訊。
- 建立及維護「已發出的憑證清單 (ICL)」,它是包含由發證者發出之所有憑證相關資訊的資料庫,包括原則及發證者 ID 檔案的副本。
- 與網際網路憑證的安全性業界標準相容:例如,X.509 及 PKIX。
若要從 Domino® 主控台管理 CA 處理程序,您可以使用一組伺服器 Tell 指令。
已發出的憑證清單 (ICL)
每一個發證者都有「已發出的憑證清單 (ICL)」,該清單是在建立發證者或將其移轉到 CA 程序時建立的。ICL 是儲存它已發出之每個憑證副本、憑證革新清單 (若為網際網路發證者) 以及 CA 配置文件的資料庫。配置文件是在建立發證者並使用發證者的公開金鑰簽署它時產生的。建立這些文件之後,就無法編輯它們。
CA 配置文件包括:
- 憑證設定檔,包含由發證者發出的憑證資訊。
- CA 配置文件,包含發證者本身的資訊。
- RA/CA 關聯文件,包含被授權核准及拒絕憑證申請的 RA 資訊。每個 RA 都有一個文件。
- ID 檔儲存文件,包含發證者 ID 的資訊。
另一個 CA 配置文件(「發證者」文件)是在設定發證者時,在「Domino® 名錄」中所建立。您可以修改此文件。
憑證革新清單 (CRL)
CRL 是時間戳記清單,可識別已取消的網際網路憑證:例如,屬於離職員工的憑證。CA 程序會發出及維護每一個網際網路發證者的 CRL。CRL 與發證者相關,由該發證者簽署,位於發證者的 ICL 資料庫中。
您會在建立新網際網路發證者時配置 CRL。您可以指定 CRL 有效的時間長度及發行新 CRL 之間的間隔。配置 CRL 之後,發證者將定期發出它們並進行無人式作業。
使用 CRL,您可以管理組織中發出的憑證。如果憑證的主旨離開組織或者金鑰已被洩漏,您就可以輕鬆地取消憑證。HTTP 伺服器及網路瀏覽器會檢查 CRL,以判定是否已取消給定的憑證,因此不再受發證者信任。使用「網際網路網站」文件在 Domino® 上配置網際網路通訊協定時,也可以為每一個通訊協定啟用 CRL 檢查。
有兩種 CRL:排程和立即。對於一般 CRL,配置持續時間間隔 (CRL 有效的時段) 以及發出新 CRL 的間隔。每個發證者都在指定的時間內發出 CRL,即使自發出上一個 CRL 以後沒有取消任何憑證也一樣。這表示如果管理員取消憑證,憑證會出現在發證者發出之下一個排程的 CRL 中。CRL 持續時段應大於發出每個 CRL 之間的時段。這會確保 CRL 仍然有效。否則,CRL 會在發出新 CRL 之前到期。
然而,萬一重要安全性中斷時(例如,如果管理員需要取消特別強大的憑證或者洩漏發證者憑證),您可以手動發出立即 CRL(即未排程的 CRL)以強制執行緊急取消。此類型的取消不會影響時間,亦不會影響下一個排程 CRL 的內容。您可以使用 Tell 指令來發出立即 CRL。