客户机的 TLS 和 S/MIME
客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书,以进行安全的 TLS 和 S/MIME 通信。
使用 TLS 认证客户机和服务器
Notes® 客户机和其他因特网客户机使用 TLS 协议来加密数据,认证服务器身份,并(可选)在 Notes® 或其他因特网客户机连接到因特网服务器(例如 Web 服务器或 LDAP 服务器)时认证客户机身份。
在服务器上,TLS 是基于每个协议进行设置的。可以在所有协议上启用 TLS,也可以只在一些协议上启用 TLS,而不在另一些协议上启用 TLS。例如,可以在邮件协议(IMAP、POP3 和 SMTP)上启用 TLS,而对 HTTP 协议禁用 TLS。
服务器认证使客户机可以对它要连接的服务器的身份进行认证,以免其他服务器冒充客户机要访问的服务器。
客户机证书认证使服务器管理员可以识别访问服务器的客户机,并基于其标识符控制对应用程序的访问。例如,如果您希望 Alan Jones 对某个数据库具有“编辑者”访问权限,而访问该数据库的其他所有用户没有任何访问权限,则可以在应用程序数据库 ACL 中将 Alan Jones 作为“编辑者”包括进来,而将“匿名”作为“不能访问者”包括进来。
使用客户机证书认证的 Notes® 和其他因特网客户机具有因特网证书,Notes® 客户机的证书存储在 Notes® 标识文件中,而因特网客户机的证书则存储在本地文件中。证书包括公用密钥、名称、到期日期和数字签名。对应的专用密钥 也存储在标识文件中,但与证书分开存储。对于 Notes® 客户机,客户机证书还存储在 Domino® 目录中,以便其他用户可以访问公用密钥。
Notes® 客户机和因特网客户机可以从 Domino® 认证中心或第三方验证者获取因特网证书。
如何设置客户机取决于服务器是否要求客户机证书认证。
作为管理员,应该仔细考虑是否要求客户机证书认证。如果不需要识别访问服务器的因特网用户,则不必设置客户机认证。实际上,在某些情况下,要求因特网证书可能会阻止用户访问服务器(例如,驻留 Web 站点的服务器)。如果要求因特网证书,则用户需要执行额外的操作,以获取证书并设置客户机证书认证。
使用 S/MIME 保护邮件
S/MIME 是一种协议,客户机可以使用该协议签署邮件消息,并通过因特网将加密的邮件消息发送给还支持 S/MIME 协议的邮件应用程序(例如,Microsoft™ Outlook Express®)的用户。Notes® 客户机使用存储在“联系人”、Domino® 目录或 LDAP 目录中的因特网证书内的公用密钥来加密消息。
未经授权的用户不能读取传输过程中的加密邮件消息。经过电子签名的邮件显示邮件签名者有权访问与存储在签名中的证书相关联的专用密钥 。