設定網際網路憑證中心
安全性計劃中的重要區域,決定是否及如何設定憑證管理中心以發出網際網路憑證。憑證管理中心 (CA) 或發證者是發出及維護數位憑證的信任管理工具。憑證會驗證個人、伺服器或組織的身分,並允許它們使用 SSL 來通訊,及使用 S/MIME 來交換郵件。憑證由發證者的數位簽章來籤記,這會向憑證的收件者保證憑證的擁有者是憑證中命名的實體。
憑證亦會發出信任根憑證,這會讓具有不同 CA 建立之憑證的用戶端及伺服器相互通訊。
為組織選擇正確的網際網路發證者
您有數個選項可用來為組織設定網際網路發證者 (對於本主題的其餘部分,發證者的所有參考表示「網際網路」發證者)。您可以使用協力廠商的商業發證者(如 VeriSign),也可以使用 Domino® 網際網路發證者之兩個類型中的一個。每種類型的發證者都有其優點與缺點;您所作出的選擇應由組織的業務需求,及管理發證者所使用的時間與資源來決定。
網際網路發證者:Domino® 比作協力廠商
網際網路發證者類型 |
好處 |
---|---|
Domino® 發證者 |
|
協力廠商發證者 (VeriSign。BRSA 等) |
|
Domino® 網際網路發證者:比作 Domino® 5 憑證權限的伺服器型憑證權限
您可以選擇設定使用伺服器型 CA 程序的 Domino® 憑證權限,或使用 CA 金鑰環的 Domino® 5 憑證權限。
Domino® 網際網路發證者類型 |
好處 |
---|---|
伺服器端憑證管理中心 |
|
Domino® 5 憑證管理中心 |
|
在網域中使用兩種類型的 Domino® 網際網路 CA
網域中可能有兩種類型的發證者:CA 程序及 CA 金鑰環。不過,您必須注意不能讓既使用金鑰環又使用 CA 程序的發證者發出網際網路憑證。啟用 CA 程序的發證者,會追蹤在「已發出的憑證清單」(可存取網域中所有伺服器的資料庫)中發出的憑證。另一方面,金鑰環樣式發證者會建立在任何一個工作站上所使用的日誌,因此沒有已發出憑證的集中式清單(僅有多個部分清單)。所以,CA 金鑰環將不會辨識使用 CA 程序而發出的任何憑證,與如同 CA 程序不會辨識使用 CA 金鑰環檔所建立的任何憑證一樣。
這特別是對於網際網路發證者是個問題,因為可能會取消伺服器端憑證管理中心的網際網路憑證。不過,若要取消網際網路憑證,您必須在 ICL 中選取它。如果使用金鑰環來起始發出憑證,則它將不會出現在 ICL 中,因此無法取消它。
所以,強烈建議您選擇一種方法,為每個發證者執行 CA 程序或 CA 金鑰環。