认证中心密钥翻转
HCL Domino®管理员可以为 Domino® 认证中心 (CA) 分配一组新的公用和专用密钥。这些密钥用于验证组中的组织单元、服务器和用户的密钥。分配新密钥的过程称为密钥翻转。
关于此任务
翻转 CA 密钥可能会因为以下原因而变得必要:
- 当前密钥太短,不足以进行加密。密钥越长,安全性越高,越不容易进行篡改。理想情况下,CA 密钥的长度应为 2048 或 4096 位。
- 当前密钥时间过长。Current® Domino® CA 密钥的时间往往超过 10 年;通常建议较短的密钥生存期。您可以在翻转时指定密钥生命周期。
- 当前专用密钥的值已面临危险。
当管理员向 Domino® CA 分配一组新密钥时,会创建新密钥,这些新密钥会进行自我验证并添加到标识文件待处理密钥区域中的顶级验证者标识文件中。以前使用的密钥将添加到标识文件的归档密钥区域,绑定新密钥和旧密钥的翻转证书则添加到标识文件的翻转证书区域。
创建新密钥以及归档旧密钥的时间框架根据用于处理 CA 密钥翻转的方法的不同也有所区别。如果对于 CA 密钥翻转过程使用验证验证者标识文件,此过程将立即进行。但如果使用 CA 过程,那么在要翻转的 CA 的标识文件在将来的某个时间发布证书(每次完成此过程后,都会搜索注册服务器上的目录,以查找要添加到验证者标识文件中的新证书)时才会完成最后的过程。
翻转证书
关于此任务
为支持验证者密钥翻转,Domino® 信任模型已扩展为包含一种新类型的证书 - 翻转证书。这些证书是由实体发布给自己的证书。在一个层次结构证书中,有一个发布者名称、一个主体名称和一个主体密钥。在翻转证书中,有一个名称(该名称即是发布者也是主题)和两个主题密钥:一个密钥用于对证书签名并证明主题名称合法拥有另一个密钥。
通常,在翻转密钥时,将发布两个翻转证书:一个由旧密钥签名,表明新密钥有效;另一个由新密钥签名,表明旧密钥有效。每个证书都有自己的到期日期。
翻转证书对于限制发布给旧密钥的证书到期日期非常重要。翻转密钥的其中一个原因是,前面的密钥已经面临危险,或者至少认为该密钥时间较长,足以认为这种危险的可能性已经不可接受。这些情况下,通过限制翻转证书中指定的到期日期,可以在翻转证书中指定一个足够早的到期日期,从而可能限制以前发布的子证书的生命周期。
验证者翻转过程
关于此任务
翻转验证者将影响到整个组织。您翻转了验证者之后,必须翻转或重新验证该验证者以前发布的所有用户标识、服务器标识和交叉证书。
翻转整个客户站点的最佳方式是在根证书中启动并在层次结构中向后传递。首先翻转根 CA,然后翻转组织单元 CA。然后翻转服务器和用户密钥。如果在父级 CA 的密钥之前翻转用户或服务器密钥,那么将需要对新用户或服务器密钥验证两次 - 一次是验证当前(旧)CA 密钥,一次是在 CA 密钥翻转时重新验证。额外的一次重新验证要消耗大量的时间和精力 - 用户和服务器重新验证需要管理员的干预,还需要复制“个人”和“服务器”文档。
过程
- 首先,必须为验证者分配一个新的密钥对
- 翻转或重新认证该验证者发布的服务器标识。
- 翻转或重新认证该验证者发布的用户标识。
- 重新认证该验证者签名的交叉证书。