在基于服务器的 CA 服务器上设置 TLS

由于服务器管理员和客户机使用浏览器访问 CA 服务器以申请并获取证书,因此在使用 TLS 保护 CA 服务器。当为 CA 服务器设置 TLS 时,可以创建服务器密钥环文件并请求服务器证书。Domino® 自动核准服务器证书并将 CA 证书合并为可信根。

关于此任务

有关针对非 CA 服务器的 Domino® 服务器核准服务器证书请求的信息,请参阅相关主题“签署服务器证书”。

注: 在一些情况下,您可能希望使用 Domino® 5 认证中心,例如,如果您希望使用第三方证书针对 TLS 设置 Domino®。有关更多信息,请在相关主题中查找技术说明设置 Domino® 5 认证中心

在基于服务器的 CA 服务器上设置 TLS

过程

  1. 创建因特网验证者。
  2. 创建“证书请求”应用程序 (CERTREQ.NSF)。
  3. 执行下列操作以创建用于存储服务器证书的服务器密钥环文件,并将 CA 证书作为信任根合并到服务器密钥环文件中:
    1. 在“证书请求”数据库中,选择 Domino 密钥环管理 > 创建密钥环
    2. 在“Create Key Ring”表单中,完成下列字段:
    3. 验证“密钥环已创建”对话框中的信息,然后单击“确定”将 CA 添加为可信根并生成服务器的证书请求。
    4. 验证合并可信根证书确认对话框中的信息,然后单击确定
    5. 当出现“证书已接收到密钥环中并指定为可信根确认”对话框时,单击确定
    6. 当出现“已为密钥环成功提交证书请求”对话框时,单击确定

    如果选择“Automatic”作为“证书请求”数据库使用的处理方法,请继续步骤 5;如果选择的是“手动”,则完成步骤 4 至步骤 6。

  4. 执行下列操作以便将证书请求传输到“管理请求”数据库中。
    1. 在“证书请求”数据库中,打开已提交/等待核准视图。如果未出现请求,请按 F9 刷新视图。
    2. 如果请求状态为已提交到 Administration Process,请继续步骤 5。如果请求仍然处于暂挂状态,请突出显示该请求,然后单击提交所选请求
    3. 当显示已成功提交 1 个请求到 Administration Process 中时,单击确定
  5. 使有权限的注册机构批准该请求。此 RA 应该对您正为其设置 TLS 的验证者有权限。
    1. 打开“管理请求”数据库 (Admin4.nsf),然后打开认证中心请求/证书请求视图并查找新请求。
    2. 打开请求并检验其中的信息。
    3. 单击编辑请求,然后单击核准请求。按 F9 键,直到请求更改为已发布
  6. 将证书请求从“管理请求”数据库中传输出去。
    1. 关闭“管理请求”数据库,返回“证书请求”数据库。
    2. 打开暂挂/已提交证书视图并找到该请求。如有必要请刷新该视图。
    3. 如果还未发布该证书,请单击拉入所选请求
  7. 在 CA 签署服务器证书请求并通知您获取证书后,执行下列操作:
    1. 执行以下某个操作:
      • 打开管理员的邮件文件,找到并打开主题为您的证书请求已核准的消息,然后将提取标识复制到剪贴板。
      • 从“证书请求”数据库中,打开已提交/已接受视图,然后打开已发出的服务器请求,并将“请求标识”复制到剪贴板。
    2. 在“证书请求”数据库中,选择 Domino 密钥环管理,然后选择提取密钥环证书
    3. 输入密钥环文件名和密码,将提取标识粘贴到表单中,然后单击提取证书
  8. 执行下列操作,将已批准的服务器证书合并到密钥环文件中。
    1. 当出现“合并已签署证书确认”对话框时,验证其中的信息,然后单击确定
    2. 当出现证书已接收到密钥环中确认时,单击确定
    3. 将新的密钥环文件及与其关联的 .STH 文件拷贝或使用 FTP(二进制方式)传输到服务器的数据目录下。
  9. 为 TLS 配置端口:
    1. Domino® 目录中,打开“服务器”文档。在端口/因特网端口部分中,单击编辑服务器,并输入新密钥环文件的名称。(不要将密钥环文件的完整路径包括进来。应只指定文件名。)启用 TLS 端口状态字段,然后单击保存并关闭
      注: 作为可选步骤,当编辑“服务器”文档时,在因特网协议/Domino Web 引擎部分中启用会话认证。这可确保 HTTP 会话将在空闲会话超时字段中指定的分钟数后超时。还可指定最大活动会话数。
    2. 如果 HTTP 已经在运行,请在控制台中输入 te http restart 以在服务器上启用 TLS。
    3. 要显示 TLS 状态并验证 HTTP 服务器是否同时在 80 和 443 端口上侦听,请在服务器控制台中输入 te http show security
  10. 执行下列操作以确认 TLS 是否已在服务器上启用。
    1. 打开浏览器,输入服务器的 URL,如:
      https://ServerCompany.com/certreq.nsf
    2. 如果出现“新建站点证书”对话框,单击下一步
    3. 单击更多信息以验证信息,然后单击下一步
    4. 决定是否接受新的站点证书,以及接受的时间长度,然后单击下一步
    5. 确定是否希望每次访问新站点时都出现警告,然后单击下一步。当出现对话框时,单击完成

结果

如果安全性指示器(挂锁图标)显示为关闭(锁定),则说明已成功建立基于 TLS 的安全会话。