Configuration du niveau d'authentification et de chiffrement de port

Vous pouvez contrôler le niveau d'authentification et de chiffrement de port mis en œuvre sur un serveur HCL Domino®.

Pourquoi et quand exécuter cette tâche

Lorsque le chiffrement de port NRPC est activé sur un serveur Domino, la confidentialité persistante (https://en.wikipedia.org/wiki/Forward_secrecy) utilisant X25519 (https://en.wikipedia.org/wiki/Curve25519) est activée par défaut, à partir de Domino 12. Le tableau suivant décrit les algorithmes de chiffrement NRPC utilisés en fonction de la version du client NRPC qui se connecte à un serveur Domino 12 ou version ultérieure à l'aide des algorithmes par défaut. Un client peut être un client Notes ou un serveur Domino qui effectue une réplication avec le serveur Domino 12.
Tableau 1. Algorithmes de chiffrement NRPC utilisés par la version du client
Version du client NRPC Algorithmes utilisés lors de la connexion à Domino 12
Clients antérieurs à la version 9.0.1 FP7 RC4
  • version 9.0.1 FP7 et FP ultérieurs
  • Version 10
  • Version 11
 AES-GCM 128 bits pour la protection de l'intégrité et du chiffrement réseau et tickets AES 128 bits
Version 12 AES-GCM 256 bits pour la protection de l'intégrité et le chiffrement réseau, X25519 pour la confidentialité persistante et les tickets AES 128 bits.

A partir de Domino® 9.01, groupe de correctifs 7, les paramètres notes.ini suivants sont disponibles :

  • PORT_ENC_ADV. Utilisez ce paramètre pour contrôler le niveau de chiffrement de port et activer l'utilisation des tickets AES.
  • TICKET_ALG_SHA. Utilisez ce paramètre pour contrôler l'algorithme de cryptographie à utiliser lors de la construction des tickets.

Utilisez DEBUG_PORT_ENC_ADV=1 pour afficher des détails concernant les nouveaux algorithmes ainsi que les erreurs possibles liées à leur utilisation.

Utilisez LOG_AUTHENTICATION=1 pour déterminer quels algorithmes d'authentification sont actuellement utilisés. Ce paramètre a été étendu afin de contenir des informations concernant les nouveaux algorithmes et de faciliter leur interprétation. Par exemple : 
Authentifier {E970014} : CN=Ultraviolet/O=MiniPax            T:RC2:128 E:1:  P:c:e S:RC4:128 A:4:1 L:N:N:N FS: Authentifier {BA6001C} : CN=Ultraviolet/O=MiniPax            T:RC2:128 E:1:  P:t:e S:AES-CBC:128 A:2:1 L:N:N:N FS: Authentifier {BA6000B} : CN=Ultraviolet/O=MiniPax            T:AES:128 E:1:  P:t:e S:AES-GCM:256 A:2:1 L:N:N:N FS:DHE-2048

T affiche l'algorithme du ticket et la taille de la clé.

S affiche l'algorithme de session (chiffrement du réseau) et la taille de la clé.

FS affiche (le cas échéant) l'algorithme utilisé pour la confidentialité persistante.

E, P, A et L n'ont pas été modifiés depuis les éditions précédentes.