Accueil
Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
Sécurité TLS
Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
Gestion des certificats TLS avec Certificate Manager
HCL Domino® 12 introduit une nouvelle tâche serveur, Certificate Manager (CertMgr), qui fonctionne avec une nouvelle base de données, Certificate Store (certstore.nsf) pour gérer les certificats TLS dans votre environnement Domino.
Gestion des certificats à l'aide de l'AC Let's Encrypt
CertMgr simplifie et protège les opérations de serveur Web Domino en leur permettant de demander, de configurer et de renouveler automatiquement des certificats TLS gratuits et largement accrédités depuis l'autorité de certification (AC) Let's Encrypt® à l'aide du protocole ACME.
Flux de demandes de certificat Let's Encrypt pour les demandes d'authentification HTTP-01
Le diagramme suivant illustre les composants et les étapes impliqués dans une demande de certificat à l'AC Let's Encrypt® lorsque des demandes d'authentification HTTP-01 sont utilisées.

Sécurisation
Cette section décrit les fonctions de sécurité, dont les listes de contrôle d'exécution, les ID et TLS.
- Présentation de la sécurité Domino
  La configuration de la sécurité de votre organisation est une tâche essentielle. L'infrastructure de sécurité joue un rôle primordial dans la protection des ressources Domino de votre organisation. En tant qu'administrateur, vous devez analyser avec précision les exigences en matière de sécurité de votre organisation avant de configurer des serveurs Domino ou des utilisateurs Notes. Une planification efficace en amont prévient les risques générés par un système de sécurité défaillant.
- Accès aux serveurs pour les utilisateurs Notes®, les utilisateurs Internet et les serveurs Domino®
  Pour contrôler les accès des utilisateurs et des serveurs à d'autres serveurs, Domino® utilise les paramètres définis dans l'onglet Sécurité du document Serveur, ainsi que les règles de validation et d'authentification. Si un serveur valide et authentifie l'utilisateur Notes®, l'utilisateur Internet ou le serveur, et que les paramètres du document Serveur autorisent l'accès, l'utilisateur ou le serveur peuvent accéder au serveur.
- Liste de contrôle d'accès de base de données
  Chaque base de données possède une liste de contrôle d'accès (LCA) qui définit le niveau d'accès des utilisateurs et des serveurs à cette base. Bien que les noms des niveaux d'accès pour les utilisateurs et les serveurs soient identiques, ceux qui s'appliquent aux utilisateurs définissent des tâches qui leur sont spécifiques, tandis que ceux qui s'appliquent aux serveurs définissent le type d'informations de la base susceptible d'être répliqué par les serveurs. Seuls les utilisateurs bénéficiant de l'accès Gestionnaire peuvent créer ou modifier une LCA.
- ID du serveur Domino® et des utilisateurs Notes®
  Domino® fait appel à des fichiers ID pour identifier les utilisateurs et contrôler l'accès aux serveurs. Chaque serveur Domino, certificateur Notes® et utilisateur Notes doit disposer d'un ID.
- Liste de contrôle d'exécution
  La liste de contrôle d'exécution (LCE) permet de configurer la sécurité des données d'un poste de travail. Une LCE protège les postes de travail utilisateur du contenu actif de sources inconnues ou suspectes. Elle peut être configurée pour limiter l'action de tout contenu actif qui s'exécute sur les postes de travail.
- Domino® Autorité de certification sur serveur
  Vous pouvez configurer un certificateur Domino® qui utilise la tâche de serveur du processus d'AC, pour gérer et traiter les demandes de certificat. Le processus d'AC est exécuté sur les serveurs Domino utilisés pour émettre des certificats. Lorsque vous configurez un certificateur Notes® ou Internet, associez-le à un processus d'AC sur le serveur pour bénéficier des atouts de ce processus. Une seule instance du processus d'AC peut s'exécuter sur un serveur. Toutefois, le processus peut être lié à plusieurs certificateurs.
- Sécurité TLS
  Le protocole de sécurité TLS (Transport Layer Security) garantit la confidentialité et l'authentification des communications pour les tâches serveur Domino® fonctionnant sur TCP/IP.
  - Gestion des certificats TLS avec Certificate Manager
    HCL Domino® 12 introduit une nouvelle tâche serveur, Certificate Manager (CertMgr), qui fonctionne avec une nouvelle base de données, Certificate Store (certstore.nsf) pour gérer les certificats TLS dans votre environnement Domino.
    - Exécution de CertMgr
      Configurez CertMgr pour qu'il démarre automatiquement en ajoutant CertMgr au paramètre notes.ini ServerTasks ou en programmant son exécution dans un document Programme. La première fois qu'il s'exécute, il crée la base de données Certificate Store (certstore.nsf).
    - Configuration des paramètres globaux
      Configurez les paramètres globaux pour définir les valeurs par défaut à utiliser pour la gestion des certificats.
    - Gestion des certificats à l'aide de l'AC Let's Encrypt
      CertMgr simplifie et protège les opérations de serveur Web Domino en leur permettant de demander, de configurer et de renouveler automatiquement des certificats TLS gratuits et largement accrédités depuis l'autorité de certification (AC) Let's Encrypt® à l'aide du protocole ACME.
      - Demande de certificat d'AC Let's Encrypt : Démarrage rapide
        Si votre serveur Domino® HCL est connecté à Internet via le port sortant 443 et le port entrant 80/443, vous pouvez demander un certificat à l'AC Let's Encrypt pour le serveur à l'aide de la commande CertMgr.
      - Options de demande d'authentification de l'AC Let's Encrypt
        Lorsque vous recevez un certificat de l'AC Let's Encrypt, leurs serveurs utilisent des demandes d'authentification pour vérifier que vous contrôlez les noms de domaine dans le certificat. Deux types de demande d'authentification sont pris en charge, tous deux disponibles pour une utilisation avec Domino.
      - Préparation d'un serveur Domino pour demander des certificats à l'AC Let's Encrypt
        Pour préparer un serveur Domino afin de demander des certificats à l'AC Let's Encrypt®, suivez la procédure correspondant au type de demande d'authentification à utiliser, soit HTTP-01, soit DNS-01. HTTP-01 est la demande d'authentification la plus souvent utilisée.
      - Configuration des profils de compte ACME
        Il existe deux documents de profil de compte ACME dans certstore.nsf à configurer avant de soumettre votre première demande de certificat à l'AC Let's Encrypt.
      - Demande d'un certificat en provenance de l'autorité de certification Let's Encrypt
        Demandez un certificat à l'AC Let's Encrypt® à l'aide de l'interface certstore.nsf.
      - Flux de demandes de certificat Let's Encrypt pour les demandes d'authentification HTTP-01
        Le diagramme suivant illustre les composants et les étapes impliqués dans une demande de certificat à l'AC Let's Encrypt® lorsque des demandes d'authentification HTTP-01 sont utilisées.
    - Demande et importation d'une clé et de certificats à partir d'une AC tierce
      A compter de HCL Domino® 12, le processus de configuration des certificats Internet provenant d'autorités de certification (AC) tierces sur un serveur Domino est simplifié.
    - Importation de données d'identification existantes
      Si vous avez des données d'identification TLS sur le disque qui ne sont pas encore ajoutées aux documents de données d'identification TLS, vous pouvez utiliser la base de données certstore.nsf pour les importer afin qu'elles soient utilisées par CertMgr.
    - Exportation de données d'identification vers un fichier
      Vous pouvez exporter les données d'identification d'un document de données d'identification TLS vers un fichier.
    - Ajout de certificats racine accrédités
      Les certificats racine accrédités permettent aux serveurs Web d'accepter les certificats racine accrédités des clients qui se connectent. Les certificats racine accrédités sont également utiles pour compléter automatiquement des chaînes de certificats partielles présentées par des AC.
    - Création de certificats à partir d'une micro CA
      Vous pouvez créer des certificats TLS de serveur Web à partir d'une micro CA.
    - Prise en charge de la cryptographie ECDSA pour les comptes ACME et les clés hôte
      CertMgr prend en charge l'algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) à l'aide des courbes NIST P-256 et NIST P-384 pour les comptes ACME et pour les clés hôte TLS 1.2 (fichiers de jeu de clés) générées à partir de l'AC Let's Encrypt® ou d'une AC tierce.
    - Demande de contrôle de clé
      Vous pouvez demander un contrôle de clé d'hôte TLS (plus typique) ou un contrôle de clé de compte ACME.
    - Paramètres de ligne de commande CertMgr
      La commande load certmgr peut être exécuté avec les paramètres suivants.
    - Commandes Tell CertMgr
      Les commandes Tell CertMgr suivantes sont disponibles.
    - Paramètres notes.ini CertMgr
      CertMgr inclut les paramètres notes.ini suivants. Certains ont des équivalents de paramètre de ligne de commande et sont notés de cette manière.
    - Contrôle de l'intégrité des certificats
      La tâche CertMgr vérifie l'intégrité des clés et certificats importés au moment de l'importation et toutes les 30 minutes par la suite.
    - Consignation du débogage CertMgr
      La commande load certmgr -d utilisée pour activer la consignation du débogage CertMgr inclut également la consignation des messages normale pour fournir un emplacement unique pour les informations de dépannage. Cette consignation concerne les certificats de l’autorité de certification Let's Encrypt et des AC tierces.
  - Configuration de port TLS
    Le protocole TLS fournit toujours un canal de communication chiffré, dont l'intégrité a été vérifiée, et assure l'authentification de l'identité du serveur. Facultativement, les serveurs TLS peuvent être configurés pour demander diverses formes d'authentification de l'identité du client.
  - Connexion TLS requise à un serveur
    Exigez des connexions TLS pour vous assurer que les clients utilisent une connexion sécurisée lors des accès aux bases de données du serveur. Pour cela, redirigez les demandes de connexion en provenance du port TCP/IP vers le port TLS. Si vous n'avez pas besoin d'une connexion TLS, les clients peuvent utiliser TLS ou TCP/IP pour se connecter au serveur.
  - Création d'une certification croisée Internet pour une connexion TLS entre serveurs
    Un serveur peut obtenir une certification croisée Internet d'un autre serveur en vue d'une accréditation. Par exemple, si un serveur doit accéder à l'assistance d'annuaire sur un autre serveur.
  - Configuration de l'accès aux bases de données pour les clients TLS
    Après avoir configuré TLS sur un serveur Domino®, vous devez accorder aux clients un accès aux bases de données du serveur.
  - Modification des restrictions du chiffrement TLS
    Le protocole TLS utilise des clés publiques, des clés privées ainsi que des clés de sessions négociées. Chaque ensemble de certificat TLS dispose d'une paire de clés (une clé publique et une clé privée) et d'un certificat X.509 permettant aux propriétaires de certificats de s'identifier via le réseau et d'utiliser S/MIME pour chiffrer et signer des messages. Les certificats contiennent uniquement la moitié publique de la paire de clés. La clé privée est conservée dans le fichier ID pour le client Notes® et dans le fichier de jeu de clés ou la base de données cerstore.nsf pour le serveur TLS. A compter de Domino 12, Domino prend en charge les clés RSA et ECDSA. Pour plus d'informations, voir wn_ECDSA_cryptography.html.
  - Authentification des clients Web TLS dans les annuaires Domino® et LDAP secondaires
    Lorsqu'un client Web s'authentifie auprès d'un serveur, ce dernier recherche par défaut le document Personne de l'utilisateur dans l'annuaire HCL Domino® principal et vérifie si celui-ci contient le certificat du client. Vous avez la possibilité de configurer Domino pour que les recherches portent également sur les annuaires secondaires Domino et/ou LDAP, si votre organisation en utilise. Pour cela, configurez les annuaires Domino et LDAP secondaires comme domaines accrédités dans la base Directory Assistance.
  - Reprise de session TLS
    La reprise d'une session TLS a un effet très positif sur les performances : lors de l'utilisation de TLS, les informations tirées de la négociation d'une session TLS précédemment réussie sont rappelées et permettent de court-circuiter les parties les plus lourdes liées à la négociation de clés de session TLS. Le protocole HTTP est celui qui bénéficie le plus de la reprise d'une session TLS, mais les autres protocoles Internet peuvent également en profiter.
  - Gestion des certificats TLS sans Certificate Manager
    Si vous ne gérez pas les certificats avec Certificate Manager (CertMgr) et la base de données Certificate Store (certstore.nsf), vous générez et gérez les certificats manuellement, comme décrit dans cette section.
- SSL et S/MIME pour les clients
  Les clients peuvent utiliser une AC (autorité de certification) Domino® ou une AC tierce pour obtenir des certificats sécurisant les communications TLS et S/MIME.
- Chiffrement
  Son rôle est de protéger les données en interdisant leur libre accès.
- Authentification par nom et mot de passe pour les clients Internet et intranet
  Egalement appelée authentification de base par mot de passe, l'authentification par nom/mot de passe s'appuie sur un protocole stimulation/réponse standard pour inviter les utilisateurs à entrer leur nom et mot de passe, puis vérifie l'exactitude de ces informations en les comparant à un hachage sécurisé du mot de passe enregistré dans les documents Personne de l'annuaire Domino®.
- Authentification par mot de passe unique basé sur le temps (TOTP)
  Lorsque les utilisateurs se connectent à un serveur Web Domino, vous pouvez demander à ce qu'ils fournissent des mots de passe uniques basés sur le temps en plus de leur noms d'utilisateur et de leurs mots de passe.
- Authentification liée à la session sur plusieurs serveurs (connexion unique)
  L'authentification sur plusieurs serveurs liée à la session, c'est-à-dire la connexion unique, permet aux utilisateurs Web de se connecter une fois à un serveur Domino® ou WebSphere®, puis d'accéder à n'importe quel autre serveur Domino ou WebSphere du même domaine DNS activé pour la connexion unique, sans avoir à se connecter de nouveau.
- Utilisation du langage SAML (Security Assertion Markup Language) pour configurer l'authentification d'identité fédérée
  L'identité fédérée est un moyen d'obtenir la connexion unique, fournissant un confort d'utilisation et permettant de réduire les coûts d'administration. Dans Domino® et Notes®, l'identité fédérée pour l'authentification utilisateur se sert du standard SAML (Security Assertion Markup Language) d'OASIS.
- Utilisation d'un magasin de données d'identification pour stocker des données d'identification
  Un serveur Domino® peut utiliser une application de magasin de données d'identification comme référentiel d'artefacts sécurisés. Les exemples d'artefacts sécurisés incluent les données d'identification d'authentification et les clés de sécurité.
- Historique des tailles de clés prises en charge dans Notes/Domino
  Cet article fournit des informations sur les tailles de clé RSA prise en charge par Notes® et Domino® depuis les versions précédentes jusqu'à la version actuelle.

Flux de demandes de certificat Let's Encrypt pour les demandes d'authentification HTTP-01

Le diagramme suivant illustre les composants et les étapes impliqués dans une demande de certificat à l'AC Let's Encrypt® lorsque des demandes d'authentification HTTP-01 sont utilisées.

Diagramme de demandes de certificat

Composants

Clé du diagramme :

(A) Anciennement stocké dans un fichier kyr (B) Demande d'authentification nécessaire pour vérifier la requête (C) Données d'identification du compte ACME utilisées pour s'authentifier auprès de l'AC basée sur ACME, telles que l'AC Let's Encrypt (D) Compte proxy requis pour la communication sortante, si nécessaire

Flux

CertMgr crée un compte (C) avec un serveur d'AC ACME
CertMgr crée une paire de clés et l'écrit dans CertStore (A)
CertMgr crée un RSC et l'envoie au serveur d'AC ACME
CertMgr enregistre la demande d'authentification reçue (B) dans CertStore
Le serveur d'AC ACME adresse une demande d'authentification sur le port 80 pour vérifier la propriété du domaine
Domino HTTP répond par une demande d'authentification (B) provenant de CertStore
CertMgr reçoit la chaîne de certificats et l'écrit dans CertStore (A)
Certificats de lecture et clés HTTP (et tâches INET) à partir de CertStore (A)

Notes

certstore.nsf doit être répliqué sur tous les serveurs qui y accèdent. L'accès à l'AC Let's Encrypt est toujours sur HTTP(S) et non sur "local ou NRPC".
La tâche Domino HTTP et CertMgr peut s'exécuter sur des serveurs Domino distincts qui partagent le CertStore.
La communication proxy utilise l'utilisateur du proxy (D)