修改 TLSL 密碼限制

TLS 會使用公開、專用及協議的階段作業金鑰。每一組 TLS 憑證都有一個金鑰組(公開金鑰與私密金鑰),以及一個 X.509 憑證,讓憑證擁有者可在網路上識別自己的身分,並使用 S/MIME 加密及簽署訊息。憑證僅包含金鑰組的一半,即公開金鑰。私密金鑰保存在 Notes® 用戶端的 ID 檔案中,若為 TLS 伺服器,則保存在金鑰環或 cerstore.nsf 資料庫中。從 Domino 12 開始,Domino 同時支援 RSA 及 ECDSA 金鑰。如需相關資訊,請參閱ACME 帳戶及主機金鑰支援 ECDSA 加密

執行這項作業的原因和時機

在信號交換期間會協議階段作業金鑰,信號交換的主要目的是產生階段作業金鑰,並讓用戶端識別伺服器,或選擇性地讓伺服器識別用戶端。階段作業金鑰的大小視所使用的密碼而定。例如,密碼 ECDHE_RSA_WITH_AES_256_GCM_SHA384 使用 256 位元作業階段金鑰及 RSA 伺服器金鑰組。密碼 ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 使用 128 位元作業階段金鑰及 ECDSA 伺服器金鑰組。以 ECDHE 開頭的密碼使用橢圓曲線技術提供秘密轉遞,如 使用 ECDHE 進行秘密轉遞的 TLS 1.2 密碼支援兩個新曲線 所述。

您可以限制哪些 TLS 密碼用於網際網路通訊協定。如果未設定任何配置參數,則預設的 TLS 密碼集會用於該 Domino 伺服器。預設 TLS 密碼會根據現行安全最佳實務隨著版本更新,因此我們建議大多數管理員使用預設密碼。

配置 TLS 密碼的方法有兩種,視您在 Domino® 伺服器上選擇配置網際網路通訊協定的方式而定:

  • 在「網際網路網站」文件中。如果使用「網際網路網站」文件,可為每個通訊協定指定不同的一組 TLS 密碼限制。
  • 透過「伺服器」文件。

如需變更「網際網路網站」文件中 TLS 密碼限制的相關資訊,請參閱相關鏈結的設定網際網路網站文件的安全性

修改「伺服器」文件中的 TLS 密碼限制

程序

  1. 從「Domino® 管理員」中,按一下「配置」標籤,然後開啟「Domino® 名錄」中的「伺服器」文件。
  2. 按一下「 > 網際網路埠 > Web」。
  3. TLS 密碼欄位中,按一下修改。此步驟會顯示可用的 TLS 密碼規格清單。
  4. 選取密碼規格,然後按一下「確定」。
  5. 儲存並關閉文件。