主页
維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
TLS 安全
「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
使用 Certificate Manager 管理 TLS 憑證
HCL Domino® 12 引進新的伺服器作業 (Certificate Manager (CertMgr))，其會使用新的資料庫（憑證儲存庫 (certstore.nsf)，在您的 Domino 環境中管理 TLS 憑證。
使用 Let's Encrypt CA 管理憑證
CertMgr 可簡化並保護 Domino Web 伺服器作業，方法為讓您能夠使用 ACME 通訊協定，自動要求、配置及免費更新來自 Let's Encrypt® 憑證管理中心 (CA)、廣泛信任的 TLS 憑證。
Let's Encrypt CA 挑戰選項
當您從 Let's Encrypt CA 收到憑證時，其伺服器會使用挑戰，來驗證您是否控制憑證中的網域名稱。支援兩種類型的挑戰，這兩種挑戰都可以與 Domino 搭配使用。

維護安全
本節說明安全功能，包括執行控制清單、ID 及 TLS。
- Domino 安全概觀
  設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員，您必須在設定任何伺服器或使用者之前，仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
- Notes® 使用者、網際網路使用者及 Domino® 伺服器的伺服器存取權
  若要控制使用者與伺服器對其他伺服器的存取權，Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值，以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別，且「伺服器」文件中的設定值允許存取，則使用者或伺服器即獲准存取伺服器。
- 資料庫存取控制清單
  每個資料庫都具有存取控制清單 (ACL)，其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的，但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業，而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
- Domino® 伺服器及 Notes® 使用者 IDDomino®
  Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者，都必須具有 ID。
- 執行控制清單
  您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容，可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
- Domino® 伺服器型憑證管理中心
  您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者，以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時，為了充分運用 CA 處理程序活動，您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行；不過，可以將該程序鏈結到多個發證者。
- TLS 安全
  「傳輸層安全 (TLS)」是一種安全通訊協定，可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
  - 使用 Certificate Manager 管理 TLS 憑證
    HCL Domino® 12 引進新的伺服器作業 (Certificate Manager (CertMgr))，其會使用新的資料庫（憑證儲存庫 (certstore.nsf)，在您的 Domino 環境中管理 TLS 憑證。
    - 執行 CertMgr
      將 CertMgr 配置為自動啟動，方法為將 CertMgr 新增到 ServerTasks notes.ini 設定，或將其排定在「程式」文件中執行。第一次執行時，它會建立「憑證儲存庫」資料庫 (certstore.nsf)。
    - 配置廣域設定
      配置「廣域設定」以設定要用於憑證管理的預設值。
    - 使用 Let's Encrypt CA 管理憑證
      CertMgr 可簡化並保護 Domino Web 伺服器作業，方法為讓您能夠使用 ACME 通訊協定，自動要求、配置及免費更新來自 Let's Encrypt® 憑證管理中心 (CA)、廣泛信任的 TLS 憑證。
      - Let's Encrypt CA 憑證要求：快速入門
        如果您的 HCL Domino® 伺服器透過送出埠 443 及送入埠 80/443 連接到網路，則您可以使用 CertMgr 指令，從伺服器的 Let's Encrypt CA 要求憑證。
      - Let's Encrypt CA 挑戰選項
        當您從 Let's Encrypt CA 收到憑證時，其伺服器會使用挑戰，來驗證您是否控制憑證中的網域名稱。支援兩種類型的挑戰，這兩種挑戰都可以與 Domino 搭配使用。
      - 準備 Domino 伺服器，從 Let's Encrypt CA 要求憑證
        若要準備 Domino 伺服器，從 Let's Encrypt® CA 要求憑證，請遵循對應至要使用之挑戰類型（HTTP-01 或 DNS-01）的程序。HTTP-01 是最常用的挑戰。
      - 配置 ACME 帳戶設定檔
        在將您的第一個憑證要求提交給 Let's Encrypt CA 之前，certstore.nsf 中有兩個「ACME 帳戶」設定檔需要配置。
      - 從 Let's Encrypt CA 要求憑證
        使用 certstore.nsf 介面，從 Let's Encrypt® CA 要求憑證。
      - 進行 HTTP-01 挑戰的 Let's Encrypt 憑證要求流程
        下圖說明當使用 HTTP-01 挑戰時，涉及向 Let's Encrypt® CA 提出憑證要求的元件及步驟。
    - 從第三方 CA 要求及匯入金鑰及憑證
      從 HCL Domino® 12 開始，在 Domino 伺服器上配置來自第三方憑證管理中心 (CA) 網際網路憑證的程序變得更簡單。
    - 匯入現有的認證
      如果您在磁碟上具有尚未新增至「TLS 認證」文件的 TLS 認證，則可以使用 certstore.nsf 資料庫來進行匯入，如此 CertMgr 就可以使用這些認證。
    - 將認證匯出至檔案
      您可以將「TLS 認證」文件中的認證匯出至檔案。
    - 新增信任的根憑證
      信任的根憑證允許 Web 伺服器接受連線中用戶端信任的根憑證。信任的根憑證亦有助於自動完成 CA 提供的部分憑證鏈。
    - 從微 CA 建立憑證
      您可以從微 CA 建立 Web 伺服器 TLS 憑證。
    - ACME 帳戶及主機金鑰支援 ECDSA 加密
      CertMgr 支援「橢圓曲線數位簽章演算法 (ECDSA)」將 NIST P-256 及 NIST P-384 曲線用於 ACME 帳戶，以及用於從 Let's Encrypt® CA 或第三方 CA 產生的 TLS 1.2 主機金鑰（金鑰環檔案）。
    - 要求金鑰換用
      您可以要求 TLS 主機金鑰換用（更典型）或 ACME 帳戶金鑰換用。
    - CertMgr 指令行參數
      load certmgr 指令可以搭配以下參數執行。
    - CertMgr tell 指令
      下列是可用的 CertMgr tell 指令。
    - CertMgr notes.ini 設定
      CertMgr 包括下列 notes.ini 設定。有些具有對等的指令行參數，因此會加以注意。
    - 憑證性能檢查
      CertMgr 作業會在匯入時檢查所匯入金鑰及憑證的性能，之後每 30 分鐘檢查一次。
    - 憑證除錯記載
      用來啟用 CertMgr 除錯記載的 load certmgr -d 指令還包括正常的訊息記載，以提供疑難排解資訊的單一位置。此記載涉及來自 Let's Encrypt 憑證管理中心及第三方 CA 的憑證。
  - TLS 埠配置
    TLS 通訊協定始終提供已加密且已檢查整合性的通訊通道及已鑑別的伺服器身分。可選擇性地配置 TLS 伺服器，以申請各種形式的用戶端身分鑑別。
  - 需要伺服器的 TLS 連線
    想要確定用戶端使用安全連線存取伺服器上的資料庫時，需要 TLS 連線。可藉由將透過 TCP/IP 埠進入的連線申請重新導向到 TLS 埠，來這樣做。若不需要 TLS 連線，則用戶端可以使用 TLS 或 TCP/IP 來連接至伺服器。
  - 建立伺服器對伺服器 TLS 的網際網路交互憑證
    為了建立信任，某部伺服器可從其他伺服器取得網際網路交互憑證。例如，如果某部伺服器必須存取其他伺服器上的「目錄協助」。
  - 設定 TLS 用戶端的資料庫存取
    在 Domino® 伺服器上設定 TLS 之後，必須對伺服器上的資料庫提供用戶端存取。
  - 修改 TLSL 密碼限制
    TLS 會使用公開、專用及協議的階段作業金鑰。每一組 TLS 憑證都有一個金鑰組（公開金鑰與私密金鑰），以及一個 X.509 憑證，讓憑證擁有者可在網路上識別自己的身分，並使用 S/MIME 加密及簽署訊息。憑證僅包含金鑰組的一半，即公開金鑰。私密金鑰保存在 Notes® 用戶端的 ID 檔案中，若為 TLS 伺服器，則保存在金鑰環或 cerstore.nsf 資料庫中。從 Domino 12 開始，Domino 同時支援 RSA 及 ECDSA 金鑰。如需相關資訊，請參閱wn_ECDSA_cryptography.html。
  - 在次要 Domino® 及 LDAP 目錄中鑑別 Web TLS 用戶端
    當網路用戶端透過伺服器鑑別時，伺服器預設會檢查主要「HCL Domino® 名錄」，查看「人員」文件中是否存在用戶端憑證。如果組織使用次要「Domino 名錄」及/或 LDAP 目錄來驗證用戶端憑證，則您可以設定 Domino 以檢查其他的目錄。若要這樣做，請將次要 Domino 及 LDAP 目錄設定為「目錄協助」資料庫中的信任網域。
  - TLS 階段作業恢復
    TLS 階段作業恢復在使用 STL 時，會恢復上一次成功的 TLS 階段作業協議的相關資訊，以略過 TLS 階段作業金鑰協議計算量最大的部分，從而大幅增進效能。HTTP 是從 TLS 階段作業恢復受益最多的通訊協定，但其他網際網路通訊協定亦從中受益。
  - 不使用 Certificate Manager 管理 TLS 憑證
    如果您不使用 Certificate Manager (CertMgr) 及「憑證儲存庫」(certstore.nsf) 資料庫來管理憑證，請依本節所述手動產生及管理憑證。
- 用戶端的 TLS 及 S/MIME
  用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA，來取得安全 TLS 及 S/MIME 通訊的憑證。
- 加密
  加密可保護資料不受未獲授權的存取。
- 網際網路/內部網路用戶端的名稱及密碼認證
  名稱及密碼鑑別（也稱為基本密碼鑑別）使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼，並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查，以驗證密碼的正確性。
- 時間型一次性密碼 (TOTP) 鑑別
  當使用者登入 Domo Web 伺服器時，您可以要求他們除了提供使用者名稱及密碼外，還要提供時間型一次性密碼。
- 多台伺服器階段作業型鑑別（單一登入）
  多台伺服器階段作業型鑑別（也稱為單一登入 (SSO)），可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器，即可在啟用單次登入 (SSO) 的相同 DNS 網域中，存取任何其他 Domino 或 WebSphere 伺服器，而不需要再次登入。
- 使用安全主張標記語言 (SAML) 以配置聯合身分鑑別
  聯合身分是達到單一登入的一種方法，可對使用者提供便利性，並協助降低管理成本。在 Domino® 與 Notes® 中，用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
- 使用認證儲存庫來儲存認證
  Domino® 伺服器可以使用認證儲存庫應用程式，作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
- Notes 和 Domino 中支援的金鑰大小歷程
  本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。

Let's Encrypt CA 挑戰選項

當您從 Let's Encrypt CA 收到憑證時，其伺服器會使用挑戰，來驗證您是否控制憑證中的網域名稱。支援兩種類型的挑戰，這兩種挑戰都可以與 Domino 搭配使用。

HTTP-01 挑戰

透過此配置，來自 Let's Encrypt 伺服器的挑戰會儲存在 HTTP 伺服器上，在這裡可經由著名的 URL 透過埠 80 存取該挑戰。憑證要求處理僅涉及您的伺服器及 Let's Encrypt 伺服器。就 Domino 而言，DSAPI 用來管理 Let's Encrypt CA 與 Domino 之間的互動。這是最容易配置且常用的挑戰。

DNS-01 挑戰

透過此配置，包含 Let's Encrypt 伺服器中挑戰資訊的 TXT 記錄會新增至您註冊的 DNS 網域。若要驗證要求， Let's Encrypt 伺服器會驗證 TXT 記錄中的挑戰。

您的 DNS 提供者的 TXT 記錄 API 用來自動將挑戰新增到 TXT 記錄。必要的 API 編碼是透過在 certstore.nsf 中建立的「DNS 提供者配置」文件實作的。

使用 DNS-01 挑戰可提供以下優勢：

DNS-01 可讓「Let's Encrypt CA」驗證整個網域，相較於 HTTP-01，後者只能由主機驗證主機。因此，DNS-01 會盤查支援萬用字元憑證，如 *.mydomain.com。
無需從公用網際網路存取 Domino Web 伺服器上的埠 80。

如果在 certstore.nsf 中啟用「DNS 提供者配置」及「 DNS 提供者帳戶」，用於為了提交要求而建立之「TLS 憑證」文件中指定的主機名稱，則會使用 DNS-01 挑戰，而不是 HTTP-01 挑戰。在此情況下，DNS 伺服器會使用「DNS 提供者配置」中的 DNS API 整合，將挑戰資訊寫入至所註冊網域中的 DNS TXT 記錄。

CertMgr 在建立「DNS 提供者配置」文件方面提供了靈活性。有 DXL 檔案可用，其中包含使用 DNS 提供者 API 之兩個特定 DNS 提供者的參照 API 實作。如果您使用其中一個 DNS 提供者，則只需將 DXL 檔案匯入至 certstore.nsf，即可建立所需的「DNS 提供者配置」文件，然後便可開始使用。如果您的 DNS 提供者不是兩個參照提供者之一，則您或商業合作夥伴可以使用您的 DNS 提供者 API 來開發 DNS 配置。若要取得參照 DXL 檔案，並瞭解如何建置自己的 DNS 提供者配置，請參閱「HCL 支援中心」網站上的 KB0089487 一文。