設定網際網路網站文件的 Domino® 安全性

若要設定網際網路網站文件的安全性,可以啟用 SSL 伺服器及用戶端鑑別、名稱及密碼鑑別,或匿名存取網際網路及內部網路用戶端。

執行這項作業的原因和時機

若要讓網際網路網站啟用 SSL,請在「伺服器」文件中配置 SSL 埠,並向網際網路憑證管理中心取得伺服器憑證及金鑰環,以便在伺服器上設定 SSL。

若要設定 SSL 鑑別,必須為每一份網際網路網站文件建立一個伺服器金鑰環檔。不過,如果「網際網路網站」文件適用同一組織,但是是針對不同的通訊協定所建立,則可使用單一伺服器金鑰環檔。請確定在每一個網站文件的「安全性」標籤的適當欄位中,輸入伺服器的金鑰環檔名。

若想要使用「憑證廢止清單 (CRL)」進行網際網路憑證鑑別,伺服器必須使用 Domino® 伺服器型憑證管理中心來核發網際網路憑證。

註: 對於網站,伺服器金鑰環上的共同名稱必須符合「網站」文件中,IP 位址對映到的 DNS 名稱。IP 位址必須儲存在「網站」文件的「對映至此網站的主機名稱或位址」欄位中。如果「在網站文件中啟用重新導向 TCP 到 SSL」,則主機名稱及 IP 位址都必須儲存在這個欄位中。

完成這些步驟前,應熟悉 SSL 鑑別、名稱及密碼鑑別以及匿名存取。

註: 您可以在網際網路網站文件中,對所有鑑別選項選取「否」,來禁止存取網際網路網站。這些選項包括 TCP 鑑別、SSL 鑑別及 TCP 匿名使用。

程序

  1. 從「Domino® 管理員」中,按一下「配置 > Web > 網際網路網站」。
  2. 選擇您要修改的網際網路網站文件,再按一下「編輯文件」
  3. 按一下「安全性」,並完成下列欄位:
    1. 網際網路網站欄位的安全性和說明

    欄位

    說明

    TCP 鑑別

    匿名

    (套用至所有網際網路網站,但 IMAP 與 POP3 除外)

    請選擇其中一項:

    • 是:可容許匿名存取此網站
    • 否:禁止匿名存取

    名稱及密碼

    請選擇其中一項:

    • 是:要求使用者以使用者名稱及網際網路密碼接受鑑別之後存取網站
    • 否:不需要名稱及密碼的鑑別。

    重新導向 TCP 到 SSL

    (僅適用於「網站」)選擇下列其中之一:

    • 是:要求用戶端及伺服器使用 SSL 通訊協定來存取網站
    • 否:容許用戶端及伺服器使用 SSL 或 TCP/IP 來存取網站

    SSL 鑑別

    匿名

    (套用至所有網際網路網站,但 IMAP 與 POP3 除外)

    請選擇其中一項:

    • 是:容許使用者未經過名稱及密碼的鑑別,由 SSL 埠存取
    • 否:拒絕使用者匿名存取

    名稱及密碼

    請選擇其中一項:

    • 是:要求使用者以使用者名稱及網際網路密碼接受鑑別之後使用 SSL 存取網站
    • 否:不需要名稱及密碼。

    用戶端憑證

    (適用於網站、IMAP、POP3 及 LDAP)

    請選擇其中一項:

    • 是:需要用戶端憑證方能存取此網站
    • 否:不需要用戶端憑證

    SSL 選項

    金鑰檔案名稱

    輸入伺服器金鑰環檔案的名稱。

    通訊協定版本

    請選擇其中一項:

    • 只有 V2.0:僅容許 SSL 2.0 連線
    • V3.0 交互聯繫:試圖進行 SSL 3.0 連線。若失敗,且申請者偵測到 SSL 2.0,則會使用 SSL 2.0 試圖進行連線。
    • 僅限 V3.0:僅容許 SSL 3.0 連接。
    • V3.0 與 V2.0 交互聯繫:可嘗試 SSL 交互聯繫,即顯示相關的錯誤訊息。若可能的話請以 SSL 3.0 連接。
    • 可協商的(預設值)試圖進行 SSL 3.0 連線。若失敗,則會試圖使用 SSL 2.0。除非出現因通信協定版本不相容所產生的連線問題,否則請使用此設定。

    接受 SSL 網站憑證

    請選擇其中一項:

    • 是:可接受憑證及使用 SSL,即使伺服器並無與通訊協定伺服器共同的憑證
    • 否(預設值):禁止接受 SSL 網站憑證的存取

    接受逾時的 SSL 憑證

    請選擇其中一項:

    • 是:即使用戶端的憑證已過期,仍容許用戶端存取
    • 否:禁止用戶端使用過期 SSL 憑證存取

    檢查 CRL

    請選擇其中一項:

    • 是:檢查發證者「憑證革新清單」(CRL) 中您嘗試驗證的使用者憑證。若找到有效的 CRL,使用者憑證位於清單中,即拒絕使用者憑證。
    • 否:不使用「憑證革新清單」。

    信任過期 CRL

    請選擇其中一項:

    • 是:嘗試驗證使用者憑證時,使用過期但有效的「憑證革新清單」
    • 否:拒絕過期的「憑證革新清單」

    允許 CRL 搜尋失敗

    請選擇其中一項:

    • 是:若嘗試找出有效的「憑證革新清單」但失敗,則當成「檢查 CRL」設為「否」來進行。
    • 否:若找不到使用者憑證的有效「憑證革新清單」,則拒絕憑證。若「信任過期 CRL」設定為「是」,則過期 CRL 有效。若「信任過期 CRL」設定為「否」,則找不到相符有效 CRL 的每筆使用者憑證鑑別都會失敗。

    SSL 安全

    SSL ciphers

    按一下「修改」來變更此網站文件的 SSL 密碼設定。這些設定僅套用在 SSL v3。SSL v2 cipher 無法變更。

    啟動 SSL V2

    選擇「是」可啟用此網站文件的 SSL v2。

  4. 儲存文件。