主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
Domino® 基于服务器的认证中心
您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
将验证者迁移到 CA 进程
要将现有的验证者迁移到 CA 进程，应设置 ICL（已发布的证书列表）数据库，并配置其证书持续时间。另外，对于因特网验证者，应配置 CRL 以及证书的密钥使用信息。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
  - 设置基于服务器的 Domino® 认证中心
    通过设置一个或多个验证者，然后为其启用 CA 进程来设置基于服务器的认证中心。
  - 管理 Domino® CA
    与管理 HCL Domino®验证者相关的任务有很多。如果实施了使用 CA 进程的验证者，那么可以将 HCL Notes®和因特网认证请求的核准和拒绝权限授予充分注册机构的其他管理员。使用 CA 进程时，旧版本 Domino 中许多与管理 CA 相关的手动任务现在都可以自动进行。
  - 将验证者迁移到 CA 进程
    要将现有的验证者迁移到 CA 进程，应设置 ICL（已发布的证书列表）数据库，并配置其证书持续时间。另外，对于因特网验证者，应配置 CRL 以及证书的密钥使用信息。
  - 将验证者添加到 CA 进程
    要管理 CA 进程，请在服务器控制台中使用 Tell 命令。
  - 查看在 CA 进程下运行的验证者
    可以查看在 CA 进程下运行的所有验证者列表。
  - 为基于服务器的 CA 创建验证者
    可以为组织创建其他 HCL Notes®和因特网验证者，并将其配置为使用 CA 进程。
  - 创建证书请求数据库
    所创建的每个因特网验证者都需要一个“证书请求”数据库 (CERTREQ.NSF) 来管理服务器密钥环文件，并允许用户通过浏览器或电子邮件请求客户机证书。此数据库存储活动证书和已提交到管理进程进行处理的撤销请求。服务器和客户机可以使用基于浏览器的界面请求证书，并获得发布的证书。
  - 在基于服务器的 CA 服务器上设置 TLS
    由于服务器管理员和客户机使用浏览器访问 CA 服务器以申请并获取证书，因此在使用 TLS 保护 CA 服务器。当为 CA 服务器设置 TLS 时，可以创建服务器密钥环文件并请求服务器证书。Domino® 自动核准服务器证书并将 CA 证书合并为可信根。
  - 使用“证书请求”数据库对服务器证书签名
    Domino® 管理员可以从基于服务器的 CA 请求服务器证书，以便在 Domino 服务器上启用 TLS。请求在“证书请求”数据库中输入并处理，管理员在该数据库中批准或拒绝请求。
  - 修改基于服务器的 CA
    迁移或创建验证者后，可以通过验证者 ICL 或 Domino® 目录中的验证者文档对其进行修改。打开验证者以进行修改的方式将影响您可以进行的更改的数量和类型。
  - 查看证书请求
    Domino® CA 和 RA 可以查看等待批准的服务器和客户机证书请求以及已批准和已拒绝的请求的有关信息。
  - 吊销证书
    例如，如果某个因特网证书的主体脱离了组织或密钥被泄露，则 CA 管理员可以轻松地吊销该证书。证书一旦吊销，便永远无法重新获得信任。
  - 备份和恢复验证者
    备份创建的每个验证者，以便在出现问题时能够进行恢复 - 例如，如果在发出 lo ca 或 tell ca refresh 命令时验证者生成错误消息。
  - 禁用验证者
    要修改“验证者”文档，您必须对 Domino® 目录具有“编辑者”访问权。管理员以及具有完全权限的管理员缺省拥有此访问权限，但是应确保所有的 CA（认证中心）管理员也拥有此访问权限。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

将验证者迁移到 CA 进程

要将现有的验证者迁移到 CA 进程，应设置 ICL（已发布的证书列表）数据库，并配置其证书持续时间。另外，对于因特网验证者，应配置 CRL 以及证书的密钥使用信息。

过程

在 Domino® Administrator 中，单击配置选项卡。
在工具窗格上，选择认证 > 迁移验证者。
在迁移验证者对话框中，单击选择。
在选择标识/密钥环文件对话框中，选择要迁移的验证者的 cert.id：
- 选择验证者标识 (CERT.ID)，然后单击选择以迁移 Notes 验证者。
- 选择验证者的密钥环文件，然后单击选择以迁移因特网验证者。
此时，验证者标识的路径和文件名将出现在迁移验证者对话框中。输入验证者标识或密钥环文件的密码，然后单击确定。

下一步做什么

根据是要迁移 Notes® 验证者还是因特网验证者，请完成接下来某个任务。

要迁移 Notes® 验证者

过程

在 Domino® Administrator 中，单击配置选项卡。

在基本选项卡中，填写下列字段：

表 1. “基本”选项卡字段
字段	操作
选择运行此验证者的服务器	选择要在其上将已迁移的验证者链接到 CA 进程的服务器。还可以在此服务器上创建该验证者的 ICL 数据库。确保客户机的场所文档指向该服务器。
要创建的 ICL 数据库的名称	ICL 在创建验证者时自动创建，并且使用缺省名称。您可以修改缺省名称（例如：icl\icl_Renovations.nsf 以表示 Renovations 验证者）。注：尽管可以更改 ICL 的位置，但建议您还是使用缺省的目录和路径。

对于验证者标识加密方法，请选择以下某项：

表 2. 加密验证者标识的选项
选项	所需密码	所需操作
使用服务器标识加密标识	无	无
要求激活密码	输入此验证者的新密码	如果选择使用服务器标识和密码加密验证者标识，需要激活该验证者。应使用以下 tell 命令： tell ca activate <password>
使用锁定标识加密标识	注册用户标识和密码	如果选择使用锁定标识加密验证者标识，则应在解锁验证者之前将其锁定。应使用以下 tell 命令： `tell ca unlock idfilepassword`

注：用受密码保护的服务器标识加密验证者标识只能保护该验证者。如果使用锁定标识，那么可以将它同时用于多个验证者。然后您需要同时锁定和解锁这些验证者。

可选： 在“管理员”列表中，输入其他 CAA 和 RA 的名称。迁移 CA 的管理员的名称会同时作为 CA 和 RA 自动包括在列表中。

在证书选项卡上，填写以下字段：

表 3. “证书”选项卡字段
字段	操作
EE 证书的持续时间	输入 EE（最终实体）证书的缺省、最小和最大持续时间（月）。最终实体证书是授予服务器或最终用户的。
CA 证书的持续时间	输入 CA（认证中心）证书的缺省、最小和最大持续时间（月）。CA 证书是授予验证者的。

单击确定。将出现一条消息说明验证者已成功迁移。
将验证者添加到 CA 进程。

下一步做什么

完成任务将验证者添加到 CA 进程

迁移因特网验证者

过程

迁移密钥环文件。
填写“迁移验证者”对话框，如相关链接中创建基于服务器的 CA 的验证者主题的有关创建因特网验证者的部分中所述。