主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
TLS 安全性
传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
使用证书管理器管理 TLS 证书
HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr)，该任务与新的数据库证书库 (certstore.nsf) 一起运行，以在 Domino 环境中管理 TLS 证书。
使用 Let's Encrypt CA 管理证书
CertMgr 能够使用 ACME 协议自动向 Let's Encrypt® 认证中心 (CA) 请求、配置和续订免费的、广泛可信的 TLS 证书，从而简化和保护 Domino Web 服务器操作。
Let's Encrypt CA 质询选项
当您从 Let's Encrypt CA 收到证书时，其服务器会使用质询来验证您是否控制了证书中的域名。支持两种类型的质询，这两种质询都可用于 Domino。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
  - 使用证书管理器管理 TLS 证书
    HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr)，该任务与新的数据库证书库 (certstore.nsf) 一起运行，以在 Domino 环境中管理 TLS 证书。
    - 运行 CertMgr
      通过将 CertMgr 添加到 ServerTasks notes.ini 设置或将其调度为在“程序”文档中运行，将 CertMgr 配置为自动启动。首次运行时，它会创建证书库数据库 (certstore.nsf)。
    - 配置全局设置
      配置全局设置以设置要用于证书管理的缺省值。
    - 使用 Let's Encrypt CA 管理证书
      CertMgr 能够使用 ACME 协议自动向 Let's Encrypt® 认证中心 (CA) 请求、配置和续订免费的、广泛可信的 TLS 证书，从而简化和保护 Domino Web 服务器操作。
      - Let's Encrypt CA 证书请求：快速入门
        如果您的 HCL Domino® 服务器通过外发端口 443 和传入端口 80/443 连接到因特网，则可以使用 CertMgr 命令向服务器的 Let's Encrypt CA 请求证书。
      - Let's Encrypt CA 质询选项
        当您从 Let's Encrypt CA 收到证书时，其服务器会使用质询来验证您是否控制了证书中的域名。支持两种类型的质询，这两种质询都可用于 Domino。
      - 准备 Domino 服务器以从 Let's Encrypt CA 请求证书
        要准备 Domino 服务器以从 Let's Encrypt® 请求证书，请遵循与要使用的质询类型（HTTP-01 或 DNS-01）相对应的过程。HTTP-01 是最常用的质询。
      - 配置 ACME 帐户概要文件
        在将第一个证书请求提交给 Let's Encrypt CA 之前，certstore.nsf 中有两个 ACME 帐户概要文件。
      - 从 Let's Encrypt CA 请求证书
        使用 certstore.nsf 接口从 Let's Encrypt® CA 请求证书。
      - 用于 HTTP-01 质询的 Let's Encrypt 证书请求流程
        下图说明了使用 HTTP-01 质询时向 Let's Encrypt® CA请求证书所涉及的组件和步骤。
    - 向第三方服务器请求和导入密钥和 CA
      从 HCL Domino® 12 开始，在 Domino 服务器上配置来自第三方认证中心 (CA) 的因特网证书的过程将更加简单。
    - 导入现有凭证
      如果磁盘上有尚未添加到 TLS 凭证文档的 TLS 凭证，那么可以使用 certstore.nsf 数据库导入这些凭证，以便 CertMgr 可以使用这些凭证。
    - 将凭证导出到文件
      您可以将 TLS 凭证文档中的凭证导出到文件。
    - 添加可信根证书
      可信根证书允许 Web 服务器接受来自正在连接的客户机的可信根证书。可信根证书对于自动完成 CA 提供的部分证书链也非常有用。
    - 从 Micro CA 创建证书
      可以从 Micro CA 创建 Web 服务器 TLS 证书。
    - ACME 帐户和主机密钥的 ECDSA 密码术支持
      CertMgr 支持使用 NIST P-256 和 NIST P-384 的 Elliptical 曲线数字签名算法(ECDSA)，用于 ACME 帐户和从 Let's Encrypt® CA 或第三方 CA 生成的 TLS 1.2主机密钥（密钥环文件）。
    - 请求密钥翻转
      您可以请求 TLS 主机密钥翻转（更典型）或 ACME 帐户密钥翻转。
    - CertMgr 命令行参数
      load certmgr 命令可以使用以下参数运行。
    - CertMgr tell 命令
      以下 CertMgr tell 命令可用。
    - CertMgr notes.ini 设置
      CertMgr 包含以下 notes.ini 设置。其中一些具有命令行参数等效项，并已作了说明。
    - 证书运行状况检查
      CertMgr 任务在导入时检查导入的密钥和证书的运行状况，此后每 30 分钟检查一次。
    - CertMgr 调试日志记录
      用于启用 CertMgr 调试记录的 load certmgr -d 命令还包括常规消息记录，以提供用于故障排除信息的单一位置。此日志记录与来自 Let's Encrypt 认证中心的证书以及来自第三方 CA 的证书相关。
  - TLS 端口配置
    TLS 协议始终提供加密的、完整性经过检验的通信信道以及经过认证的服务器身份。可以选择将 TLS 服务器配置为要求各种形式的客户机身份认证。
  - 要求通过 TLS 方式连接服务器
    要确保客户机使用安全连接访问服务器上的数据库，应要求使用 TLS 连接。将通过 TCP/IP 端口进来的连接请求重新定向到 TLS 端口，可以实现 TLS 连接。如果不要求 TLS 连接，客户机可以选择使用 TLS 或 TCP/IP 连接到服务器。
  - 为服务器之间的 TLS 创建因特网交叉证书
    一台服务器可以从另一台服务器获取因特网交叉证书以建立信任（例如，如果一台服务器需要访问另一台服务器上的目录辅助）。
  - 为 TLS 客户机设置数据库访问权
    在 Domino® 服务器上设置 TLS 后，必须授予客户机对服务器上数据库的访问权。
  - 修改 TLS 密码限制
    TLS 使用公用密钥、专用密钥和协商会话密钥。每组 TLS 凭证都有一对密钥（一个公用密钥和一个专用密钥）和一个 X.509 证书，此证书使证书所有者可以在网络中证明自己的身份，并使用 S/MIME 对邮件加密和签名。证书中只包含密钥对中的公用密钥。对于 Notes® 客户机，专用密钥保存在标识文件中，而对于 TLS 服务器，专用密钥保存在密钥环文件或 cerstore.nsf 数据库中。从 Domino 12 开始， Domino 同时支持 RSA 密钥和 ECDSA 密钥。有关更多信息，请参阅 wn_ECDSA_cryptography.html。
  - 在辅助 Domino® 和 LDAP 目录中认证 Web TLS 客户机
    Web 客户机向服务器进行认证时，缺省情况下服务器会检查 HCL Domino®目录，查看“个人”文档中是否存在客户机证书。如果组织使用辅助 Domino 目录和/或 LDAP 目录来验证客户机证书，那么可以设置 Domino 来检查这些附加的目录。为此，应在“目录辅助”数据库中将辅助 Domino 和 LDAP 目录设置为可信域。
  - TLS 会话恢复
    TLS 会话恢复通过从以前成功的 TLS 会话协商中检索信息，以绕开 TLS 会话密钥协商中计算量最大的部分，从而极大地改善了使用 TLS 的性能。许多因特网协议都从 TLS 会话恢复中获益，其中 HTTP 协议获益最大。
  - 不使用证书管理器管理 TLS 证书
    如果不使用证书管理器 (CertMgr) 和证书库 (certstore.nsf) 数据库来管理证书，那么可以手动生成和管理证书，如本部分中所述。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

Let's Encrypt CA 质询选项

当您从 Let's Encrypt CA 收到证书时，其服务器会使用质询来验证您是否控制了证书中的域名。支持两种类型的质询，这两种质询都可用于 Domino。

HTTP-01 质询

使用此配置，来自 Let's Encrypt 服务器的一项质询存储在 HTTP 服务器（可通过端口 80 上的已知 URL 访问）上。证书请求处理仅涉及您的服务器和 Let's Encrypt 服务器。对于 Domino，DSAPI 用于管理 Let's Encrypt CA 与 Domino CA 交互。这是最容易配置且通常使用的质询。

DNS-01 质询

使用此配置，包含来自 Let's Encrypt 服务器的质询信息的 TXT 记录将添加到已注册的 DNS 域中。要验证请求，Let's Encrypt 服务器会验证 TXT 记录中的质询。

DNS 提供程序的 TXT 记录 API 用于自动将质询添加到 TXT 记录中。所需 API 编码通过在 certstore.nsf 中创建的 DNS 提供程序配置文档实现。

使用 DNS-01 质询具有以下优点：

DNS-01 允许通过加密 CA 验证整个域，而 HTTP-01 只能用于逐个验证主机。因此，DNS-01 质询支持通配符证书，如 *.mydomain.com。
无需从公共因特网访问 Domino Web 服务器上的端口 80。

如果在 certstore.nsf 中为为了提交请求而创建的 TLS 凭证文档中指定的主机名启用了 DNS 提供程序配置和 DNS 提供程序帐户，则将使用 DNS-01 质询而不是 HTTP-01 质询。在这种情况下，DNS 服务器会使用 DNS 提供程序配置中的 DNS API 集成将密码密码写入已注册域中的 DNS TXT 记录。

CertMgr 提供了创建 DNS 提供程序配置文档的灵活性。提供了一个 DXL 文件，其中包含两个使用其 DNS 提供程序 API 的特定 DNS 提供程序的引用 API 实现。如果您使用这些 DNS 提供程序之一，只需将 DXL 文件导入 certstore.nsf 即可创建所需的 DNS 提供程序配置文档，然后即可使用。如果您的 DNS 提供程序不是这两个引用提供程序之一，您或业务合作伙伴可以使用您的 DNS 提供程序 API 开发 DNS 配置。要获取引用 DXL 文件并了解如何构建自己的 DNS 提供程序配置，请参阅 HCL 支持站点上的文章 KB0089487。