设置因特网证书认证中心

安全性规划中的一个重要方面是确定是否以及如何设置证书认证中心以发布因特网证书。CA(证书认证中心),或者称为证明者, 是一种可信的管理工具,负责发布并维护数字证书。证书可用来校验个人、服务器或组织的身份,并允许他们使用 TLS 进行通信以及使用 S/MIME 交换邮件。证书带有证明者的数字签名,使证书的接收者可以确信证书的持有者是证书中指定的实体。

证明者还可以发布信任根证书,以便允许那些持有由不同 CA 创建的证书的客户机和服务器相互通信。

注: 请务必区分 Notes® 证明者和因特网证明者。当您在域中安装并设置第一台 Domino® 服务器时,系统会自动设置 Notes® 证明者以向 Notes® 客户机发布 Notes® 证书。这些证书对 Notes® 客户机进行 Domino® 服务器认证以及对 Domino® 服务器进行相互认证是必不可少的。因此,即使在全 Web 客户机的环境中,Notes® 证明者也是很重要的。因特网证明者(如上文所述)发布 Internet (X.509) 证书,用以保护因特网上的通信安全。您应根据需要设置因特网证明者。

为组织选择正确的因特网证明者

设置组织的因特网证明者有多种选项(在本主题的余下部分,提到的所有“证明者”均指“因特网证明者”)。可使用第三方商业证明者(如 VeriSign),也可使用两种 Domino® 因特网证明者中的一种。这些证明者各有利弊;因此应根据组织的业务需求以及管理证明者可用的时间和资源进行选择。

因特网证明者:Domino® 与第三方相比

1. 因特网证明者

因特网证明者类型

优点

Domino® 证明者

  • 避免了第三方证明者在发布和更新客户机以及服务器证书方面所需要的费用。
  • 许多管理员已经熟悉 Domino® 证明者,因此与使用第三方证明者相比,不需要进行其他培训。
  • 可根据需要更加方便快捷地设置和部署新的证书。

第三方证明者(VeriSign、RSA 等)

  • 可简化客户机配置。如果从所使用的浏览器预先设置为“可信”的证明者处获取证书,可简化客户机配置的步骤。
  • 同样,如果使用的证明者在外部业务的邮件客户机(您与其交换 S/MIME 邮件)中预先配置为“可信”,也可简化配置步骤。

Domino® 因特网证明者:基于服务器的认证中心与 Domino® 5 认证中心的比较

您可选择是设置使用基于服务器的 CA 进程的 Domino® 认证中心,还是设置使用 CA 密钥环的 Domino® 5 认证中心。

2. Domino® 因特网证明者

Domino® 因特网证明者类型

优点

基于服务器的认证中心

  • 管理员可通过 CA 进程管理 Notes® 证明者和因特网证明者。
  • 发布符合安全性行业标准(如 X.509v3 和 PKIX)的因特网证书。
  • 无需管理员访问证明者标识和标识密码即可注册用户和服务器。如果使用该认证中心,则管理员可授权这些任务而不会对证明者造成任何潜在的危害。
  • 支持 PKIX RA(注册机构)角色,因此允许管理员授权证书批准/拒绝进程。
  • 发布 CRL(证书撤销列表),该列表包含有关已撤销或到期的因特网证书的信息。

Domino® 5 认证中心

  • 为设置用于测试或演示目的的因特网证明者提供了一种简便的方法。

在域中同时使用两种类型的 Domino® 因特网 CA

在域中同时使用两种类型的证明者(CA 进程和 CA 密钥环)是可行的。但是,应务必小心不要由既使用密钥环又使用 CA 进程的一个证明者发布因特网证书。启用 CA 进程的证明者会在“发布的证书列表”(域中的所有服务器均可访问的数据库)中跟踪其发布的证书。另一方面,密钥环样式的证明者会在使用它的所有工作站上创建日志,因此不存在已发布的证书的中心列表(而仅有多个部分列表)。因此,CA 密钥环无法识别使用 CA 进程发布的任何证书,同样,CA 进程也无法识别使用 CA 密钥环创建的任何证书。

对于因特网证明者而言此问题更加突出,这是因为在基于服务器的证书认证中心中可能会撤销因特网证书。但是,要撤销因特网证书,必须在 ICL 将其选定。如果证书最初是使用密钥环发布的,那么它将不会显示在 ICL 中,因此无法撤销该证书。

因此,我们强烈建议您为每个证明者选择一种操作方式,即要么选择 CA 进程,要么选择 CA 密钥环。