設定網際網路網站文件的 Domino® 安全性
若要設定網際網路網站文件的安全性,可以啟用 TLS 伺服器及用戶端鑑別、名稱及密碼鑑別,或匿名存取網際網路及內部網路用戶端。
執行這項作業的原因和時機
若要讓網際網路網站啟用 TLS,請在「伺服器」文件中配置 TLS 埠,並向網際網路憑證管理中心取得伺服器憑證及金鑰,以便在伺服器上設定 TLS。
完成這些步驟前,應熟悉 TLS 鑑別、名稱及密碼鑑別以及匿名存取。
註: 您可以在網際網路網站文件中,對所有鑑別選項選取「否」,來禁止存取網際網路網站。這些選項包括 TCP 鑑別、TLS 鑑別及 TCP 匿名使用。
程序
- 從「Domino® 管理員」中,按一下。
- 選擇您要修改的網際網路網站文件,再按一下「編輯文件」。
- 按一下「安全性」,並完成下列欄位:
表 1. 網際網路網站欄位的安全性和說明 欄位
說明
TCP 鑑別 匿名
(套用至所有網際網路網站,但 IMAP 與 POP3 除外)
請選擇其中一項:
- 是:可容許匿名存取此網站
- 否:禁止匿名存取
名稱及密碼
請選擇其中一項:
- 是:要求使用者以使用者名稱及網際網路密碼接受鑑別之後存取網站
- 否:不需要名稱及密碼的鑑別。
將 TCP 重新導向到 TLS
(僅適用於「網站」)選擇下列其中之一:
- 是:要求用戶端及伺服器使用 TLS 通訊協定來存取網站
- 否:容許用戶端及伺服器使用 TLS 或 TCP/IP 來存取網站
TLS 鑑別 匿名
(套用至所有網際網路網站,但 IMAP 與 POP3 除外)
請選擇其中一項:
- 是:容許使用者未經過名稱及密碼的鑑別,由 TLS 埠存取
- 否:拒絕使用者匿名存取
名稱及密碼
請選擇其中一項:
- 是:要求使用者以使用者名稱及網際網路密碼接受鑑別之後使用 TLS 存取網站
- 否:不需要名稱及密碼。
用戶端憑證
(適用於網站、IMAP、POP3 及 LDAP)
請選擇其中一項:
- 是:需要用戶端憑證方能存取此網站
- 否:不需要用戶端憑證
TLS 選項 金鑰檔案名稱
指定下列其中一項:- 如果使用 certstore.nsf 配置,請指定伺服器的主機名稱,或指定出現在伺服器之 certstore.nsf 中的任何其他憑證。
- 如果未使用 certstore.nsf 配置,請指定 kyr 檔案。
接受 TLS 網站憑證
請選擇其中一項:
- 是:可接受憑證及使用 TLS,即使伺服器並無與通訊協定伺服器共同的憑證
- 否(預設值):禁止接受 TLS 網站憑證的存取
接受過期 TLS 憑證
請選擇其中一項:
- 是:即使用戶端的憑證已過期,仍容許用戶端存取
- 否:禁止用戶端使用過期 TLS 憑證存取
檢查 CRL
請選擇其中一項:
- 是:檢查發證者「憑證革新清單」(CRL) 中您嘗試驗證的使用者憑證。若找到有效的 CRL,使用者憑證位於清單中,即拒絕使用者憑證。
- 否:不使用「憑證革新清單」。
信任過期 CRL
請選擇其中一項:
- 是:嘗試驗證使用者憑證時,使用過期但有效的「憑證革新清單」
- 否:拒絕過期的「憑證革新清單」
允許 CRL 搜尋失敗
請選擇其中一項:
- 是:若嘗試找出有效的「憑證革新清單」但失敗,則當成「檢查 CRL」設為「否」來進行。
- 否:若找不到使用者憑證的有效「憑證革新清單」,則拒絕憑證。若「信任過期 CRL」設定為「是」,則過期 CRL 有效。若「信任過期 CRL」設定為「否」,則找不到相符有效 CRL 的每筆使用者憑證鑑別都會失敗。
TLS 安全控管 TLS 密碼
按一下修改來變更此網站文件的 TLS 密碼設定。這些設定僅適用於 TLS v3。TLS v2 密碼無法變更。
- 儲存文件。