主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
TLS 安全性
传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
使用证书管理器管理 TLS 证书
HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr)，该任务与新的数据库证书库 (certstore.nsf) 一起运行，以在 Domino 环境中管理 TLS 证书。
ACME 帐户和主机密钥的 ECDSA 密码术支持
CertMgr 支持使用 NIST P-256 和 NIST P-384 的 Elliptical 曲线数字签名算法(ECDSA)，用于 ACME 帐户和从 Let's Encrypt® CA 或第三方 CA 生成的 TLS 1.2主机密钥（密钥环文件）。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
  - 使用证书管理器管理 TLS 证书
    HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr)，该任务与新的数据库证书库 (certstore.nsf) 一起运行，以在 Domino 环境中管理 TLS 证书。
    - 运行 CertMgr
      通过将 CertMgr 添加到 ServerTasks notes.ini 设置或将其调度为在“程序”文档中运行，将 CertMgr 配置为自动启动。首次运行时，它会创建证书库数据库 (certstore.nsf)。
    - 配置全局设置
      配置全局设置以设置要用于证书管理的缺省值。
    - 使用 Let's Encrypt CA 管理证书
      CertMgr 能够使用 ACME 协议自动向 Let's Encrypt® 认证中心 (CA) 请求、配置和续订免费的、广泛可信的 TLS 证书，从而简化和保护 Domino Web 服务器操作。
    - 向第三方服务器请求和导入密钥和 CA
      从 HCL Domino® 12 开始，在 Domino 服务器上配置来自第三方认证中心 (CA) 的因特网证书的过程将更加简单。
    - 导入现有凭证
      如果磁盘上有尚未添加到 TLS 凭证文档的 TLS 凭证，那么可以使用 certstore.nsf 数据库导入这些凭证，以便 CertMgr 可以使用这些凭证。
    - 将凭证导出到文件
      您可以将 TLS 凭证文档中的凭证导出到文件。
    - 添加可信根证书
      可信根证书允许 Web 服务器接受来自正在连接的客户机的可信根证书。可信根证书对于自动完成 CA 提供的部分证书链也非常有用。
    - 从 Micro CA 创建证书
      可以从 Micro CA 创建 Web 服务器 TLS 证书。
    - ACME 帐户和主机密钥的 ECDSA 密码术支持
      CertMgr 支持使用 NIST P-256 和 NIST P-384 的 Elliptical 曲线数字签名算法(ECDSA)，用于 ACME 帐户和从 Let's Encrypt® CA 或第三方 CA 生成的 TLS 1.2主机密钥（密钥环文件）。
    - 请求密钥翻转
      您可以请求 TLS 主机密钥翻转（更典型）或 ACME 帐户密钥翻转。
    - CertMgr 命令行参数
      load certmgr 命令可以使用以下参数运行。
    - CertMgr tell 命令
      以下 CertMgr tell 命令可用。
    - CertMgr notes.ini 设置
      CertMgr 包含以下 notes.ini 设置。其中一些具有命令行参数等效项，并已作了说明。
    - 证书运行状况检查
      CertMgr 任务在导入时检查导入的密钥和证书的运行状况，此后每 30 分钟检查一次。
    - CertMgr 调试日志记录
      用于启用 CertMgr 调试记录的 load certmgr -d 命令还包括常规消息记录，以提供用于故障排除信息的单一位置。此日志记录与来自 Let's Encrypt 认证中心的证书以及来自第三方 CA 的证书相关。
  - TLS 端口配置
    TLS 协议始终提供加密的、完整性经过检验的通信信道以及经过认证的服务器身份。可以选择将 TLS 服务器配置为要求各种形式的客户机身份认证。
  - 要求通过 TLS 方式连接服务器
    要确保客户机使用安全连接访问服务器上的数据库，应要求使用 TLS 连接。将通过 TCP/IP 端口进来的连接请求重新定向到 TLS 端口，可以实现 TLS 连接。如果不要求 TLS 连接，客户机可以选择使用 TLS 或 TCP/IP 连接到服务器。
  - 为服务器之间的 TLS 创建因特网交叉证书
    一台服务器可以从另一台服务器获取因特网交叉证书以建立信任（例如，如果一台服务器需要访问另一台服务器上的目录辅助）。
  - 为 TLS 客户机设置数据库访问权
    在 Domino® 服务器上设置 TLS 后，必须授予客户机对服务器上数据库的访问权。
  - 修改 TLS 密码限制
    TLS 使用公用密钥、专用密钥和协商会话密钥。每组 TLS 凭证都有一对密钥（一个公用密钥和一个专用密钥）和一个 X.509 证书，此证书使证书所有者可以在网络中证明自己的身份，并使用 S/MIME 对邮件加密和签名。证书中只包含密钥对中的公用密钥。对于 Notes® 客户机，专用密钥保存在标识文件中，而对于 TLS 服务器，专用密钥保存在密钥环文件或 cerstore.nsf 数据库中。从 Domino 12 开始， Domino 同时支持 RSA 密钥和 ECDSA 密钥。有关更多信息，请参阅 wn_ECDSA_cryptography.html。
  - 在辅助 Domino® 和 LDAP 目录中认证 Web TLS 客户机
    Web 客户机向服务器进行认证时，缺省情况下服务器会检查 HCL Domino®目录，查看“个人”文档中是否存在客户机证书。如果组织使用辅助 Domino 目录和/或 LDAP 目录来验证客户机证书，那么可以设置 Domino 来检查这些附加的目录。为此，应在“目录辅助”数据库中将辅助 Domino 和 LDAP 目录设置为可信域。
  - TLS 会话恢复
    TLS 会话恢复通过从以前成功的 TLS 会话协商中检索信息，以绕开 TLS 会话密钥协商中计算量最大的部分，从而极大地改善了使用 TLS 的性能。许多因特网协议都从 TLS 会话恢复中获益，其中 HTTP 协议获益最大。
  - 不使用证书管理器管理 TLS 证书
    如果不使用证书管理器 (CertMgr) 和证书库 (certstore.nsf) 数据库来管理证书，那么可以手动生成和管理证书，如本部分中所述。
- 客户机的 TLS 和 S/MIME
  客户机可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户机的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  本文提供有关 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小的信息。

ACME 帐户和主机密钥的 ECDSA 密码术支持

CertMgr 支持使用 NIST P-256 和 NIST P-384 的 Elliptical 曲线数字签名算法(ECDSA)，用于 ACME 帐户和从 Let's Encrypt® CA 或第三方 CA 生成的 TLS 1.2主机密钥（密钥环文件）。

ECDSA 密钥比同等强度的 RSA 密钥短得多，且通常可提供比其 RSA 等效密钥更好的性能。

通常认为 256 位 (NIST P-256) ECDSA 密钥在强度上相当于 3072 位 RSA 密钥或 128 位 AES 密钥。
通常认为 384 位 (NIST P-384) ECDSA 密钥相当于 7680 位 RSA 密钥或 192 位 AES 密钥。
通常，512 位 ECDSA 密钥 (NIST P-521) 相当于 15360 位 RSA 密钥或 256 位 AES 密钥。

Let's Encrypt 认证中心当前不支持 NIST P-521。但是， Domino TLS 堆栈和 CertMgr 后端 TLS 支持用于 TLS 主机密钥（密钥环文件）的 NIST P-521。

配置为通过 CertMgr 或 kyrtool 使用 ECDSA 密钥环文件的 Domino 服务器支持以下两个 TLS 1.2 密码套件，最新的浏览器和设备均支持这两个套件：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 (0xC02B)
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (0xC02C)

V1.2 之前版本的 TLS 不支持 ECDSA。如果已配置，ECDSA 主机密钥将用于所有因特网协议，而不只是 HTTPS。

为什么不总是使用 ECDSA 而不是 RSA？安全行业内的一些人担心 NIST 曲线的选择缺乏透明度，因此尽管性能会受到影响，但他们更偏好使用 RSA。

ACME 帐户

在 certstore.ntf 中，新 ACME 帐户密钥的缺省设置设为 ECDSA NIST P-384。支持将 RSA 帐户密钥用于不支持 ECDSA 帐户密钥的基于 ACME 的 CA。如果您注册了具有密钥标识 (KID) 和专用密钥的 ACME 帐户文档，那么必须创建新的 ACME 帐户文档以在 ECDSA 和 RSA 之间切换。

TLS 主机密钥

由 Let's Encrypt CA 第三方密钥生成的新主机密钥的缺省 CA 保留 4096 位 RSA。可通过密钥翻转来更改密钥类型和密钥大小。有关更多信息，请参阅请求密钥翻转。