证明者标识和证书

证明者标识和证书构成了 HCL Domino®安全性的基础。要在组织的分层名称方案中正确放置服务器和用户,请为名称树上的每个分支创建一个证明者标识。在服务器和用户的注册过程中,可使用证明者为每个服务器标识和用户标识“标记”一个证书(证书定义服务器标识和用户标识在组织中所属的层次)。属于同一个名称树的服务器和用户可以相互通信;属于不同名称树的服务器和用户需要交叉证书才能相互通信。

注: 如果已经将证明者迁移到基于 Domino® 服务器的证书认证中心 (CA),那么不必标记每个服务器标识和用户标识即可注册服务器和用户。

每次创建证明者标识时,Domino® 会创建证明者标识文件和“证明者”文档。标识文件中包含用于注册服务器和用户的标识。“证明者”文档作为证明者标识的记录,除其他内容之外,还存储证明者标识的分层名称、发布此证明者标识的证明者标识的名称、以及与此证明者标识相关的证书名称。

注: 设置服务器时,可以使用现有证明者标识而无需新建。不能向指定的证明者标识分配多个密码。为一个证明者标识使用多个密码,会产生错误消息并导致服务器设置停止。

有两种类型的证明者标识:组织和组织单元。

  • 组织证明者标识

    组织证明者显示在名称树的开始位置,并且通常是公司名称,例如 Renovations。设置第一台服务器时,服务器设置程序创建组织证明者并将组织证明者标识文件存储在 Domino® 数据目录中,同时将其命名为 CERT.ID。设置第一台服务器时,此组织证明者标识自动验证第一台 Domino 服务器的标识和管理员的用户标识。设置第一台服务器时,此组织证明者标识自动验证第一台 Domino® 服务器的标识和管理员的用户标识。

    如果您的公司较大并且分散,则在设置完服务器之后,可能需要使用 Domino® Administrator 创建第二个组织证明者标识,以便进一步区分名称,例如,区分子公司。

  • 组织单元证明者标识

    组织单元证明者位于树的所有分支上,通常代表地域或部门名称,例如,East/Renovations 或 Sales/East/Renovations。可以在设置服务器的过程中选择创建第一层次的组织单元证明者标识,这样,服务器标识和管理员的用户标识是用组织单元证明者标记的,而不是组织证明者。如果在设置服务器的过程中未选择创建此组织单元证明者,以后随时可以使用 Domino® Administrator 进行此操作,但应记住重新验证服务器标识和管理员的用户标识。

    最多可创建四个层次的组织单元证明者。要创建第一层次的组织单元证明者标识,请使用组织证明者标识。要创建第二层次的组织单元证明者标识,请使用第一层次组织单元证明者标识,依此类推。

    使用组织单元证明者标识,可以通过向管理公司特定分支中的用户和服务器的管理员分发个人证明者标识来分散证书。例如,Renovations 公司有两个管理员。一个管理 West/Renovations 中的服务器和用户,只具有对 West/Renovations 证明者标识的访问权;另一个管理 East/Renovations 中的服务器和用户,只具有对 East/Renovations 证明者标识的访问权。

缺省情况下,服务器设置程序在被指定为 Domino® 数据目录的目录中存储证明者标识文件。使用 Domino® Administrator 创建其他组织证明者标识或组织单元证明者标识时,可以指定标识的存储位置。要确保安全性,请将证明者存储在安全位置,如锁定在安全区域中的磁盘上。

要为 HCL Notes®用户提供标识和密码恢复,需要为每个证明者标识设置恢复信息。要恢复用户标识文件,需要具有对证明者标识文件的访问权以指定恢复信息,同时用户标识文件自身必须是可以恢复的。可以通过三种方法来完成此任务:

  • 在用户注册时,使用包含恢复信息的证明者标识创建标识文件。
  • 从证明者标识文件中导出恢复信息,并让用户接受该信息。
  • (仅适用于使用基于服务器的证书认证中心的服务器)向证明者添加恢复信息。然后,当现有用户访问主服务器时,其标识会自动得到更新。