管理 Domino® CA
与管理 HCL Domino®验证者相关的任务有很多。如果实施了使用 CA 进程的验证者,那么可以将 HCL Notes®和因特网认证请求的核准和拒绝权限授予充分注册机构的其他管理员。使用 CA 进程时,旧版本 Domino® 中许多与管理 CA 相关的手动任务现在都可以自动进行。
Domino® 认证中心管理员任务
CAA 对域的主 Domino® 目录必须至少具有“编辑者”访问权。
根据已知的最佳经验,应至少为每个验证者指定两个 CAA。这样,如果其中一个离开了组织,还有另一个作为后备。
注: 缺省情况下,自动将创建验证者的管理员同时指定为该验证者的 CAA 和 RA。当创建其他 CAA 时,必须给它们分配 RA 角色才能核准或拒绝证书请求。
Domino® 认证中心管理员 (CAA) 负责以下任务:
- 创建并配置验证者
- 修改验证者。例如,只有 CA 管理员可以编辑 Notes® 验证者的标识恢复信息。
- 添加或除去“验证”和“注册机构”管理员,或更改分配给用户的 CA 和 RA 角色。
Domino® 注册机构管理员任务
RA(注册机构)管理员负责核准或拒绝 Notes® 或因特网证书请求,并在必要时撤销因特网证书。尽管 CA 管理员也可以是注册机构,但具有单独 RA 角色的主要优点是可以分担 Domino® 和/或 CA 管理员的这些任务。而且,Domino® 管理员可以为启用了 CA 进程的每个验证者建立一个或多个 RA。
RA 应该仅核准将为验证者所接受的那些请求。存储在 CA 的已发布证书列表 (ICL) 数据库中的“CA 配置”和“证书概要文件”文档描述了哪些请求是可接受的。该文档的当前有效副本连同验证者文档也作为附件存储。
注册为 Notes® 用户的 Domino® 管理员也应作为 Notes® 验证者的 RA 列出,以最大限度地减少验证者发布证书所需的步骤。
Domino® 注册机构 (RA) 管理员负责以下任务:
- 核准或拒绝因特网证书请求。
- 在证书不再受信任(例如,证书的主体离开了组织或密钥被泄露等)时将其撤销。
注: 如果需要 RA 能够注册用户,那么 RA 必须对域的主 Domino® 目录至少具有“作者”访问权,并启用了“创建文档”特权和“用户创建者”角色。Domino® 管理员注册 Notes® 用户时也需要相同的访问权。