主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
客户机的 TLS 和 S/MIME
客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
将可信证书推送到 Notes® 客户机
可以在 Domino® 目录中为因特网验证者和 Notes® 验证者创建交叉证书，然后将这些交叉证书推送到 Notes 客户机上的“联系人”应用程序。在访问服务器、读取加密的 S/MIME 邮件或安装已签署的 Notes 客户机插件时，将使用这些交叉证书来建立客户机对验证者的信任。在推送交叉证书时，用户无需创建这些交叉证书或从 Domino 目录中检索这些交叉证书。
在 Domino 目录中，从验证者文档创建因特网交叉证书
您可以在 HCL Domino®目录中为因特网证书创建交叉证书。完成此步骤后，可以将交叉证书推送到 HCL Notes®客户机以在客户机上建立验证者信任。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
  - 设置 Notes® 客户机和因特网客户机以进行 TLS 认证
    可以将 Notes® 客户机或其他因特网客户机设置为进行服务器认证，以在连接到因特网服务器时加密数据并认证服务器身份。如果只对客户机设置服务器认证，则无需因特网证书。
  - 将可信证书推送到 Notes® 客户机
    可以在 Domino® 目录中为因特网验证者和 Notes® 验证者创建交叉证书，然后将这些交叉证书推送到 Notes 客户机上的“联系人”应用程序。在访问服务器、读取加密的 S/MIME 邮件或安装已签署的 Notes 客户机插件时，将使用这些交叉证书来建立客户机对验证者的信任。在推送交叉证书时，用户无需创建这些交叉证书或从 Domino 目录中检索这些交叉证书。
    - 将因特网验证者导入到 Domino® 目录
      要准备将 Notes® 客户机设置为信任第三方因特网验证者，请首先将该验证者导入到 Domino® 目录。因特网验证者可以是您从 CA（如 VeriSign）购买的验证者，也可以是您自己使用工具（如 Sun Java™ 软件开发包 (SDK) 随附的密钥和证书管理工具 (keytool)）创建的自签名证书。无论属于哪种情况，证书都必须基于 RSA 密钥算法，否则将无法将其导入。如果创建自签名证书，请记住指定使用 RSA 密钥算法。
    - 在 Domino 目录中，从验证者文档创建因特网交叉证书
      您可以在 HCL Domino®目录中为因特网证书创建交叉证书。完成此步骤后，可以将交叉证书推送到 HCL Notes®客户机以在客户机上建立验证者信任。
    - 通过安全性策略设置将证书应用到客户机
      如果已在 Domino® 目录中创建了因特网验证者或 Notes® 验证者的交叉证书，可以使用安全策略设置将其推送到 Notes 客户机的“联系人”。也可选择应用因特网验证者。用户可以在“联系人”中查看该交叉证书或验证者，但无法对其进行编辑或删除。
    - 用户如何手动获得信任证书
      CA 的证书的副本称为信任根证书。获取信任根证书以及（如果使用的是 Notes® 客户机）根证书的因特网交叉证书之后，客户机将信任该 CA 以及（通过扩展）该 CA 发布的任何证书。如果您要为因特网客户机设置服务器认证，应将此信任根添加到本地文件中。如果要为 Notes 客户机设置服务器认证，请将此信任根添加到用户可访问的 Domino® 目录中，以在其“联系人”中生成交叉证书。
  - 用于 TLS 和 S/MIME 的因特网证书
    因特网客户机和 Notes® 客户机必须具有因特网证书，才能使用客户机认证或发送签名邮件。要使用 S/MIME 发送加密邮件，这些客户机必须具有收件人的因特网证书。
  - 为 S/MIME 设置 Notes® 客户机
    可以将 Notes® 客户机设置为在向支持 S/MIME 的邮件应用程序的其他用户发送邮件时使用 S/MIME 加密和电子签名。
  - 设置 Notes® 客户机和因特网客户机以进行 TLS 客户机认证
    可以设置 Notes® 客户机或因特网客户机以对服务器进行客户机认证。不能对 SMTP 和 IIOP 连接使用客户机认证。
  - 使用 SMTP 为 Notes® 或 Domino® 设置 TLS
    向 SMTP 服务器路由邮件时，Notes® 客户机或 Domino® 服务器可以充当 SMTP 客户机。Notes 客户机或 Domino 服务器可以使用 TLS 连接到运行 SMTP 服务的 Domino 服务器，或连接到其他类型的 SMTP 服务器。使用 SMTP 进行连接时，不能设置 Notes 客户机或 Domino 服务器进行 TLS 客户机认证。
  - 对 LDAP 目录设置目录辅助时使用 TLS
    通过目录辅助，可以将目录辅助从服务器的主 Domino® 目录扩展到其他 Notes® 目录（如辅助 Domino 目录）和远程 LADP 目录。要设置目录辅助，应根据 DA.NTF 模板创建目录辅助数据库，然后在该数据库中创建“Directory Assistance”文档，以便为特定目录配置服务。
  - OCSP for X.509 认证撤销检查
    联机证书状态协议 (OCSP) 使应用程序能确认已识别证书的撤销状态。OCSP 可以提供比认证撤销列表 (CRL) 更及时的撤销信息，满足操作需求，并且不能用于获取额外的状态信息。OCSP 客户机向 OCSP 响应器发送一个状态请求，在响应器作出反映之前，客户机处于悬停认证接受状态。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

在 Domino 目录中，从验证者文档创建因特网交叉证书

您可以在 HCL Domino®目录中为因特网证书创建交叉证书。完成此步骤后，可以将交叉证书推送到 HCL Notes®客户机以在客户机上建立验证者信任。

过程

在 Domino Administrator 中，单击个人和组选项卡，然后单击证书视图。
打开要进行交叉验证的因特网或 Notes 验证者的文档。
单击操作 > 创建交叉证书。
选择验证者以进行交叉验证并单击“确定”。
在发布交叉证书对话框中，单击验证者。（现在不要单击交叉验证。）
使用选择验证者对话框来选择 Domino 域中的服务器和验证者以发布交叉证书：
1. 使用缺省服务器，或者单击服务器以指定服务器。
  - 如果要提供验证者标识，请选择用来查找验证者列表的服务器，以便能用最新的证书集更新“验证者标识”文件本身及其所有祖代。
  - 如果要使用基于 Domino® 服务器的 CA，请选择用来访问 Domino® 目录的服务器以查找验证者列表。
    注：这也是更新 CERTLOG.NSF 所在的服务器。
  然后选择以下其中一个选项：
2. 提供验证者标识和密码。
  - 如果希望使用与所显示的标识不同的标识，请单击验证者标识。
  - 否则，请单击“确定”，输入所选证书标识的密码，然后单击“确定”。
3. 使用 CA 过程。如果您已配置了基于 Domino® 服务器的 CA，请从列表中选择已配置 CA 的证明者，然后单击“确定”。
在发布交叉证书框中，单击交叉验证。
单击视图 > 刷新，并验证 Domino 验证者是否已发布交叉证书。

下一步做什么

通过安装介质或安全策略设置，向 Notes 客户机提供交叉证书。