修改 TLS 密码限制

TLS 使用公用密钥、专用密钥和协商会话密钥。每组 TLS 凭证都有一对密钥(一个公用密钥和一个专用密钥)和一个 X.509 证书,此证书使证书所有者可以在网络中证明自己的身份,并使用 S/MIME 对邮件加密和签名。证书中只包含密钥对中的公用密钥。对于 Notes® 客户机,专用密钥保存在标识文件中,而对于 TLS 服务器,专用密钥保存在密钥环文件或 cerstore.nsf 数据库中。从 Domino 12 开始, Domino 同时支持 RSA 密钥和 ECDSA 密钥。有关更多信息,请参阅 ACME 帐户和主机密钥的 ECDSA 密码术支持

关于此任务

握手期间会对会话密钥进行协商 - 握手的主要目的是生成会话密钥,并使客户机能够识别服务器以及(可选)使服务器能够识别客户机。会话密钥的大小由使用的密码决定。例如,密码 ECDHE_RSA_WITH_AES_256_GCM_SHA384 使用 256 位会话密钥和 RSA 服务器密钥对。密码 ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 使用 128 位会话密钥和 ECDSA 服务器密钥对。以 ECDHE 开头的密码使用椭圆曲线技术提供向前保密,如TLS 1.2 密码支持两条使用 ECDHE 进行前向保密的新曲线中所述。

您可以限制将哪些 TLS 密码用于因特网协议。如果未设置任何配置参数,那么会将缺省的一组 TLS 密码用于该 Domino 服务器。缺省 TLS 密码会根据当前的安全最佳实践在各个发行版中更新,因此建议大多数管理员使用缺省密码。

有两种方法可以配置 TLS 密码,具体取决于您选择如何在 Domino® 服务器上配置因特网协议:

  • 在“因特网站点”文档中。如果使用因特网站点文档,可以为每个协议指定不同的 TLS 密码限制集。
  • 通过“服务器”文档。

有关在“因特网站点”文档中更改 TLS 密码限制的更多信息,请参阅相关链接中的设置因特网站点文档的安全性

在“服务器”文档中修改 TLS 密码限制

过程

  1. Domino® Administrator 中,单击配置,然后打开 Domino® 目录中的“服务器”文档。
  2. 单击端口 > 因特网端口 > Web
  3. TLS 密码字段中,单击修改。此时将显示可用 TLS 密码规范的列表。
  4. 选择密码规范,然后单击确定
  5. 保存并关闭此文档。