主页
維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
TLS 安全
「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
TLS 埠配置
TLS 通訊協定始終提供已加密且已檢查整合性的通訊通道及已鑑別的伺服器身分。可選擇性地配置 TLS 伺服器，以申請各種形式的用戶端身分鑑別。
配置 TLS 的埠
可配置埠以僅使用伺服器認證，或使用伺服器及用戶端認證。

維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
- Domino 安全概觀
  設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員，您必須在設定任何伺服器或使用者之前，仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
- Notes® 使用者、網際網路使用者及 Domino® 伺服器的伺服器存取權
  若要控制使用者與伺服器對其他伺服器的存取權，Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值，以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別，且「伺服器」文件中的設定值允許存取，則使用者或伺服器即獲准存取伺服器。
- 資料庫存取控制清單
  每個資料庫都具有存取控制清單 (ACL)，其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的，但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業，而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
- Domino® 伺服器及 Notes® 使用者 IDDomino®
  Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者，都必須具有 ID。
- 執行控制清單
  您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容，可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
- Domino® 伺服器型憑證管理中心
  您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者，以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時，為了充分運用 CA 處理程序活動，您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行；不過，可以將該程序鏈結到多個發證者。
- TLS 安全
  「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
  - 使用 Certificate Manager 管理 TLS 憑證
    HCL Domino® 12 引進新的伺服器作業 (Certificate Manager (CertMgr))，其會使用新的資料庫（憑證儲存庫 (certstore.nsf)，在您的 Domino 環境中管理 TLS 憑證。
  - TLS 埠配置
    TLS 通訊協定始終提供已加密且已檢查整合性的通訊通道及已鑑別的伺服器身分。可選擇性地配置 TLS 伺服器，以申請各種形式的用戶端身分鑑別。
    - 配置 TLS 的埠
      可配置埠以僅使用伺服器認證，或使用伺服器及用戶端認證。
  - 需要伺服器的 TLS 連線
    想要確定用戶端使用安全連線存取伺服器上的資料庫時，需要 TLS 連線。可藉由將透過 TCP/IP 埠進入的連線申請重新導向到 TLS 埠，來這樣做。若不需要 TLS 連線，則用戶端可以使用 TLS 或 TCP/IP 來連接至伺服器。
  - 建立伺服器對伺服器 TLS 的網際網路交互憑證
    為了建立信任，某部伺服器可從其他伺服器取得網際網路交互憑證。例如，如果某部伺服器必須存取其他伺服器上的「目錄協助」。
  - 設定 TLS 用戶端的資料庫存取
    在 Domino® 伺服器上設定 TLS 之後，必須對伺服器上的資料庫提供用戶端存取。
  - 修改 TLSL 密碼限制
    TLS 會使用公開、專用及協議的階段作業金鑰。每一組 TLS 憑證都有一個金鑰組（公開金鑰與私密金鑰），以及一個 X.509 憑證，讓憑證擁有者可在網路上識別自己的身分，並使用 S/MIME 加密及簽署訊息。憑證僅包含金鑰組的一半，即公開金鑰。私密金鑰保存在 Notes® 用戶端的 ID 檔案中，若為 TLS 伺服器，則保存在金鑰環或 cerstore.nsf 資料庫中。從 Domino 12 開始，Domino 同時支援 RSA 及 ECDSA 金鑰。如需相關資訊，請參閱wn_ECDSA_cryptography.html。
  - 在次要 Domino® 及 LDAP 目錄中鑑別 Web TLS 用戶端
    當網路用戶端透過伺服器鑑別時，伺服器預設會檢查主要「HCL Domino® 名錄」，查看「人員」文件中是否存在用戶端憑證。如果組織使用次要「Domino 名錄」及/或 LDAP 目錄來驗證用戶端憑證，則您可以設定 Domino 以檢查其他的目錄。若要這樣做，請將次要 Domino 及 LDAP 目錄設定為「目錄協助」資料庫中的信任網域。
  - TLS 階段作業恢復
    TLS 階段作業恢復在使用 STL 時，會恢復上一次成功的 TLS 階段作業協議的相關資訊，以略過 TLS 階段作業金鑰協議計算量最大的部分，從而大幅增進效能。HTTP 是從 TLS 階段作業恢復受益最多的通訊協定，但其他網際網路通訊協定亦從中受益。
  - 不使用 Certificate Manager 管理 TLS 憑證
    如果您不使用 Certificate Manager (CertMgr) 及「憑證儲存庫」(certstore.nsf) 資料庫來管理憑證，請依本節所述手動產生及管理憑證。
- 用戶端的 TLS 及 S/MIME
  用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA，來取得安全 TLS 及 S/MIME 通訊的憑證。
- 加密
  加密可保護資料不受未獲授權的存取。
- 網際網路/內部網路用戶端的名稱及密碼認證
  名稱及密碼鑑別（也稱為基本密碼鑑別）使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼，並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查，以驗證密碼的正確性。
- 時間型一次性密碼 (TOTP) 鑑別
  當使用者登入 Domo Web 伺服器時，您可以要求他們除了提供使用者名稱及密碼外，還要提供時間型一次性密碼。
- 多台伺服器階段作業型鑑別（單一登入）
  多台伺服器階段作業型鑑別（也稱為單一登入 (SSO)），可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器，即可在啟用單次登入 (SSO) 的相同 DNS 網域中，存取任何其他 Domino 或 WebSphere 伺服器，而不需要再次登入。
- 使用安全主張標記語言 (SAML) 以配置聯合身分鑑別
  聯合身分是達到單一登入的一種方法，可對使用者提供便利性，並協助降低管理成本。在 Domino® 與 Notes® 中，用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
- 使用認證儲存庫來儲存認證
  Domino® 伺服器可以使用認證儲存庫應用程式，作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
- Notes 和 Domino 中支援的金鑰大小歷程
  本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。

配置 TLS 的埠

可配置埠以僅使用伺服器認證，或使用伺服器及用戶端認證。

執行這項作業的原因和時機

如果您使用的是「網際網路網站」文件，請參閱相關資訊中的設定「網際網路網站」文件的安全性主題。

程序

從「HCL Domino® 管理員」中，按一下配置 > 伺服器，然後開啟「伺服器」文件。
按一下埠 > 網際網路埠標籤。

請完成下列欄位：

表 1. 網際網路埠欄位
欄位	Enter
TLS 金鑰檔案名稱	指定下列其中一項：如果使用 certstore.nsf 配置，請指定伺服器的主機名稱，或指定出現在伺服器之 certstore.nsf 中的任何其他憑證。如果未使用 certstore.nsf 配置，請指定 kyr 檔案。註：如果 Domino 伺服器使用用戶端憑證鑑別進行出埠 TLS 連線，例如 LDAPS 要求，請為用於這些出埠連線的認證指定主機名稱或金鑰環。註： Domino® 不會將此欄位用於 IIOP，它使用個別的金鑰環檔。您不能變更 IIOP 金鑰環檔的名稱。
接受 TLS 網站憑證	請選擇其中一項：是 - 即使 Domino® 伺服器未具有與網際網路伺服器相同的憑證，仍允許此伺服器接受網站憑證，並使用 TLS 來存取網際網路伺服器。否 - 不允許此伺服器接受網站憑證。
接受過期 TLS 憑證	請選擇其中一項：是 - 即使用戶端的憑證已過期，仍允許用戶端存取伺服器。否 - 不允許用戶端使用過期的用戶端憑證存取伺服器。

按一下欲配置的通訊協定標籤，然後完成下列欄位：

表 2. 通訊協定欄位
欄位	Enter
TLS 埠號	輸入 Domino® 接聽 TLS 要求的埠號。不論是否使用「網際網路網站」或「網路配置」視圖，請在此配置這項設定。註：若變更預設的埠號，則用戶端也必須變更其配置。通常只在防火牆 proxy 使用保留的埠號時，才變更預設的埠號。
TLS 埠狀態	選擇「啟用」，容許埠上的 TLS 連線。不論是否使用「網際網路網站」或「網路配置」視圖，請在此配置這項設定。註：因為 Domino® 伺服器可以是 SMTP 伺服器或 SMTP 用戶端，所以在「TLS 埠狀態」欄位中有兩個選項。若要將 Domino® 伺服器設定為已啟用 TLS 的 SMTP 伺服器，請在「SMTP 入埠」欄位中選擇「已啟用」。
用戶端憑證	請選擇其中一項：否 - 不使用用戶端鑑別。是 - 使用用戶端鑑別。註： SMTP 及 IIOP 不支援用戶端認證。
名稱及密碼	請選擇其中一項：否 - 不使用名稱及密碼鑑別。是 - 使用名稱及密碼鑑別。
匿名	請選擇其中一項：是 - 容許匿名存取。如果想讓使用者僅使用伺服器認證進行連線，則必須選取「是」。否 - 防止匿名存取。如果對「匿名」及「用戶端憑證」都選擇「是」，Domino® 會先嘗試鑑別用戶端。如果失敗，Domino® 會嘗試匿名連接使用者。如果對「匿名」、「用戶端憑證」及「名稱及密碼」選擇「是」，Domino® 會先嘗試使用用戶端憑證來鑑別用戶端。如果失敗，Domino® 會嘗試使用名稱及密碼鑑別。如果失敗，Domino® 會嘗試匿名連接使用者。必須配置 LDAP，以容許匿名 TLS 連線，以便執行名稱查閱。 IMAP、POP3 及 SMTP 不支援匿名存取。