TLS 端口配置
TLS 协议始终提供加密的、完整性经过检验的通信信道以及经过认证的服务器身份。可以选择将 TLS 服务器配置为要求各种形式的客户机身份认证。
必须对每个协议启用 TLS。一些因特网协议不支持客户机证书认证。
要设置端口使用 TLS 进行认证,请执行下列操作:
- 配置端口。
- 确定是要求用户仅使用 TLS 访问服务器,还是同时使用 TLS 和 TCP/IP 访问服务器。
如果使用的是“因特网站点”文档,您可以在其中为每个协议配置大部分 TLS 端口参数。但是,必须在“服务器”文档中为每个因特网协议配置以下设置:TCP/IP 端口和状态以及 TLS 端口和状态。还必须指定是否要对特定协议的 TCP/IP 端口强制使用服务器权限设置。
仅使用服务器认证
服务器认证加密数据并认证服务器身份。要通过用户名来控制对服务器上数据库的访问,应设置名称和密码认证。要只对服务器认证启用 TLS,则:
- 服务器必须具有来自 Domino® 或第三方 CA 的证书。
- 客户机必须将服务器的 CA 证书标记为信任根。客户机可以通过为 TLS 服务器证书创建交叉证书来直接信任 TLS 服务器证书。
- 如果使用的是 Notes® 客户机,该 Notes® 客户机对服务器 CA 或 TLS 服务器的证书必须具有交叉证书。
使用客户机证书认证
除服务器认证提供的安全性之外,客户机证书认证还通过使用 Internet (x.509) 客户机证书检验客户机的身份。使用服务器和客户机证书认证,可以通过在数据库 ACL 中指定各个客户机用户名来控制对数据库的访问。要对客户机证书认证启用 TLS,必须:
- 完成上述部分中的服务器认证需求。
- 客户机必须具有来自 Domino® 或第三方 CA 的证书。
- 服务器必须有标记为信任根的客户机 CA 证书。
- 每个客户机都必须在 Domino® 目录中有“个人”文档,该文档中包含来自客户机证书的 TLS 公用密钥。