在伺服器型 CA 伺服器上設定 SSL

因為伺服器管理員及用戶端會使用瀏覽器存取 CA 伺服器以要求及選取憑證,所以請使用 SSL 來保護 CA 伺服器。當您針對 SSL 設定 CA 伺服器時,要建立伺服器金鑰環檔案,並申請伺服器憑證。Domino® 會自動核准伺服器憑證,並且將 CA 憑證合併為授信主要憑證。

執行這項作業的原因和時機

如需由非 CA 伺服器的 Domino® 伺服器核准伺服器憑證申請的相關資訊,請參閱相關主題「簽署伺服器憑證」。

註: 有一些情況您可能要使用 Domino® 5 憑證管理中心,例如,如果要使用第三方憑證設定 Domino® 以使用 SSL。如需相關資訊,請查看相關主題中的 Technote 設定 Domino® 5 憑證管理中心

在伺服器型 CA 伺服器上設定 SSL

程序

  1. 建立網際網路發證者。
  2. 建立憑證申請應用程式 (CERTREQ.NSF)。
  3. 請執行下列動作,建立伺服器金鑰環檔以儲存伺服器憑證,並將 CA 憑證作為信任根合併到伺服器金鑰環檔中:
    1. 在「憑證申請」資料庫中,選擇「Domino 金鑰環管理 > 建立金鑰環」。
    2. 在「建立金鑰環」表單中,完成這些欄位:
    3. 驗證「已建立的金鑰環」對話框中的資訊,然後按一下「確定」,將您的 CA 新增為授信主要憑證,並為伺服器產生憑證申請。
    4. 驗證「合併授信主要憑證確認」對話框中的資訊,然後按一下「確定」
    5. 「憑證已接收至金鑰環且指定為授信主要憑證」確認對話框出現時,請按一下「確定」
    6. 已順利提交金鑰環的憑證申請」對話框出現時,請按一下「確定」

    如果您選擇「自動」作為「憑證申請」資料庫所使用的處理方法,請繼續步驟 5。如果您選擇「手動」,請完成步驟 4 到 6。

  4. 請執行下列動作,將憑證申請傳送到「管理要求」資料庫:
    1. 在「憑證申請」資料庫中,開啟「提交/等待核准」視圖。如果要求未出現,請按 F9 來重新整理視圖。
    2. 如果要求狀態為「提交到管理程序」,請繼續步驟 5。如果要求仍為「擱置」,請強調顯示要求並按一下「提交選取的要求」
    3. 看到「已成功提交 1 個要求給管理程序」時,請按一下「確定」
  5. 讓授權的註冊管理中心核准要求。此 RA 應由您正為其設定 SSL 的發證者授權。
    1. 開啟「管理要求」資料庫(Admin4.nsf),然後開啟憑證管理中心申請/憑證申請視圖,並尋找新的申請。
    2. 開啟要求,驗證其中的資訊。
    3. 按一下「編輯要求」,然後按一下「核准要求」。按下 F9,直到要求變更為「已發出」。
  6. 將憑證申請傳送到「管理要求」資料庫之外:
    1. 關閉「管理要求」資料庫,返回「憑證申請」資料庫。
    2. 開啟「擱置/提交憑證」視圖,並尋找要求。必要的話,請重新整理視圖。
    3. 如果尚未發出憑證,請按一下「從對方抄寫選取的要求」
  7. 在 CA 簽署伺服器憑證的要求並通知您選取憑證之後,請執行下列動作:
    1. 請執行其中一項:
      • 開啟「管理員」的郵件檔,尋找及開啟主旨為已核准您的憑證申請的訊息,然後將挑選 ID 複製到剪貼簿。
      • 從「憑證申請」資料庫中,開啟「已提交/已接受」視圖,然後開啟發出的伺服器要求並將「要求 ID」複製到剪貼簿。
    2. 在「憑證申請」資料庫中,選擇「Domino 金鑰環管理」,然後選擇「挑選金鑰環憑證」
    3. 輸入金鑰環檔名及密碼,將挑選 ID 貼到表單,然後按一下「挑選憑證」
  8. 執行下列動作,將核准的伺服器憑證合併到金鑰環檔中:
    1. 出現「合併已簽署憑證確認」對話框時,請驗證資訊並按一下「確定」
    2. 出現「憑證已接收至金鑰環」確認時,請按一下「確定」
    3. 複製或使用 FTP(以二進位模式),將新的金鑰環檔及其相關的 .sth 檔案傳送到伺服器的資料目錄中。
  9. 為 SSL 配置埠:
    1. 在「Domino® 名錄」中,開啟「伺服器」文件。在「埠/網際網路埠」區段中,按一下「編輯伺服器」,然後輸入新金鑰環檔的名稱。(請勿將完整路徑併入到金鑰環檔中。僅指定檔案名稱。)啟用「SSL 埠狀態」欄位,然後按一下「儲存並關閉」
      註: 作為選用步驟,在編輯「伺服器」文件時,啟用「網際網路通訊協定/Domino網路引擎」區段中的「階段作業鑑別」。這會確保 HTTP 階段作業在「閒置階段作業逾時」欄位中所指定的分鐘數內逾時。亦可能指定作用中的階段作業上限。
    2. 如果 HTTP 已在執行中,請在主控台中鍵入 te http restart,以便在伺服器上啟用 SSL。
    3. 若要顯示 SSL 狀態及驗證 HTTP 伺服器是否在接聽 80 及 443,請在伺服器主控台上鍵入 te http show security
  10. 請執行下列動作,以確認 SSL 正在伺服器上工作。
    1. 開啟瀏覽器,並輸入伺服器的 URL,例如: 
      https://serverCompany.com/certreq.nsf
    2. 如果出現「新網站憑證」對話框,請按「下一步」
    3. 按一下「進一步資訊」以驗證資訊,然後按「下一步」
    4. 決定是否接受新的網站憑證及接受的時間長度,然後按「下一步」
    5. 決定您是否要在每次存取新網站時查看警告,然後按「下一步」。出現對話框時,請按一下「完成」

結果

如果「安全性」指示器(小鎖圖示)關閉(鎖定),則您已成功地透過 SSL 建立安全階段作業。