本部分描述安全性功能,包括执行控制列表、标识和 TLS。
传输层安全性 (TLS) 是一种安全协议,它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr),该任务与新的数据库证书库 (certstore.nsf) 一起运行,以在 Domino 环境中管理 TLS 证书。
CertMgr 包含以下 notes.ini 设置。其中一些具有命令行参数等效项,并已作了说明。
设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产,安全性基础结构是十分关键的。作为管理员,在设置任何服务器或用户之前,应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
为了控制用户和服务器对其他服务器的访问权,Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器,并且“服务器”文档中的设置允许访问,那么该用户或服务器就可以访问该服务器。
每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的,但是指定给用户的级别决定用户在数据库中所能执行的任务,而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击,也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程,用于发布证书。设置了 Notes® 或因特网验证者后,应将其链接到服务器上的 CA 进程,以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上,但是此进程可以链接到多个验证者。
通过将 CertMgr 添加到 ServerTasks notes.ini 设置或将其调度为在“程序”文档中运行,将 CertMgr 配置为自动启动。首次运行时,它会创建证书库数据库 (certstore.nsf)。
CertMgr
配置全局设置以设置要用于证书管理的缺省值。
CertMgr 能够使用 ACME 协议自动向 Let's Encrypt® 认证中心 (CA) 请求、配置和续订免费的、广泛可信的 TLS 证书,从而简化和保护 Domino Web 服务器操作。
从 HCL Domino® 12 开始,在 Domino 服务器上配置来自第三方认证中心 (CA) 的因特网证书的过程将更加简单。
如果磁盘上有尚未添加到 TLS 凭证文档的 TLS 凭证,那么可以使用 certstore.nsf 数据库导入这些凭证,以便 CertMgr 可以使用这些凭证。
您可以将 TLS 凭证文档中的凭证导出到文件。
可信根证书允许 Web 服务器接受来自正在连接的客户机的可信根证书。可信根证书对于自动完成 CA 提供的部分证书链也非常有用。
可以从 Micro CA 创建 Web 服务器 TLS 证书。
CertMgr 支持使用 NIST P-256 和 NIST P-384 的 Elliptical 曲线数字签名算法(ECDSA),用于 ACME 帐户和从 Let's Encrypt® CA 或第三方 CA 生成的 TLS 1.2主机密钥(密钥环文件)。
您可以请求 TLS 主机密钥翻转(更典型)或 ACME 帐户密钥翻转。
load certmgr 命令可以使用以下参数运行。
load certmgr
以下 CertMgr tell 命令可用。
CertMgr 任务在导入时检查导入的密钥和证书的运行状况,此后每 30 分钟检查一次。
用于启用 CertMgr 调试记录的 load certmgr -d 命令还包括常规消息记录,以提供用于故障排除信息的单一位置。此日志记录与来自 Let's Encrypt 认证中心的证书以及来自第三方 CA 的证书相关。
load certmgr -d
TLS 协议始终提供加密的、完整性经过检验的通信信道以及经过认证的服务器身份。可以选择将 TLS 服务器配置为要求各种形式的客户机身份认证。
要确保客户机使用安全连接访问服务器上的数据库,应要求使用 TLS 连接。将通过 TCP/IP 端口进来的连接请求重新定向到 TLS 端口,可以实现 TLS 连接。如果不要求 TLS 连接,客户机可以选择使用 TLS 或 TCP/IP 连接到服务器。
一台服务器可以从另一台服务器获取因特网交叉证书以建立信任(例如,如果一台服务器需要访问另一台服务器上的目录辅助)。
在 Domino® 服务器上设置 TLS 后,必须授予客户机对服务器上数据库的访问权。
TLS 使用公用密钥、专用密钥和协商会话密钥。每组 TLS 凭证都有一对密钥(一个公用密钥和一个专用密钥)和一个 X.509 证书,此证书使证书所有者可以在网络中证明自己的身份,并使用 S/MIME 对邮件加密和签名。证书中只包含密钥对中的公用密钥。对于 Notes® 客户机,专用密钥保存在标识文件中,而对于 TLS 服务器,专用密钥保存在密钥环文件或 cerstore.nsf 数据库中。从 Domino 12 开始, Domino 同时支持 RSA 密钥和 ECDSA 密钥。有关更多信息,请参阅 wn_ECDSA_cryptography.html。
Web 客户机向服务器进行认证时,缺省情况下服务器会检查 HCL Domino®目录,查看“个人”文档中是否存在客户机证书。如果组织使用辅助 Domino 目录和/或 LDAP 目录来验证客户机证书,那么可以设置 Domino 来检查这些附加的目录。为此,应在“目录辅助”数据库中将辅助 Domino 和 LDAP 目录设置为可信域。
TLS 会话恢复通过从以前成功的 TLS 会话协商中检索信息,以绕开 TLS 会话密钥协商中计算量最大的部分,从而极大地改善了使用 TLS 的性能。许多因特网协议都从 TLS 会话恢复中获益,其中 HTTP 协议获益最大。
如果不使用证书管理器 (CertMgr) 和证书库 (certstore.nsf) 数据库来管理证书,那么可以手动生成和管理证书,如本部分中所述。
客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书,以进行安全的 TLS 和 S/MIME 通信。
加密可以保护数据不受到未经授权的访问。
名称和密码认证(也称为基本密码认证)使用基本的提问/应答协议来向用户询问其名称和密码,然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查,从而验证密码的准确性。
当用户登录到 Domino Web 服务器时,除了用户名和密码之外,您可以要求他们提供基于时间的一次性密码。
基于会话的多服务器认证(也称单点登录 (SSO))允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次,然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
联合身份是实现单点登录,为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中,用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
本文提供有关 Notes® 和 Domino®(从过去发行版到当前发行版)支持的 RSA 密钥大小的信息。
缺省值:0
值:1
等效命令行:-r
描述:自动检测主机名,然后使用缺省配置生成证书请求。