本節說明安全功能,包括執行控制清單、ID 及 TLS。
「傳輸層安全 (TLS)」是一種安全通訊協定,可為透過 TCP/IP 執行的 Domino® 伺服器作業提供通訊隱私權及驗證。
HCL Domino® 12 引進新的伺服器作業 (Certificate Manager (CertMgr)),其會使用新的資料庫(憑證儲存庫 (certstore.nsf),在您的 Domino 環境中管理 TLS 憑證。
CertMgr 包括下列 notes.ini 設定。有些具有對等的指令行參數,因此會加以注意。
設定組織的安全性是一項非常重要的作業。安全性基礎架構對於保護組織的 IT 資源及資產十分重要。身為管理員,您必須在設定任何伺服器或使用者之前,仔細考慮組織的安全性需求。前面的計劃會成功地將以後洩漏安全性的風險降至最小。
若要控制使用者與伺服器對其他伺服器的存取權,Domino® 會使用於「伺服器」文件的「安全性」標籤上所指定的設定值,以及驗證及鑑別的規則。如果伺服器對 Notes® 使用者、網際網路使用者或伺服器進行驗證及鑑別,且「伺服器」文件中的設定值允許存取,則使用者或伺服器即獲准存取伺服器。
每個資料庫都具有存取控制清單 (ACL),其指定使用者及伺服器對該資料庫的存取權層次。雖然存取權層次名稱對於使用者及伺服器都是相同的,但指派給使用者的那些存取權會決定他們可以在資料庫中執行的作業,而指派給伺服器的那些存取權會決定伺服器可以抄寫資料庫中的哪些資訊。僅有擁有「管理員」存取權的人員才可建立或修改 ACL。
Domino® 使用 ID 檔案來識別使用者並控制伺服器的存取權。每個 Domino 伺服器、Notes® 發證者及 Notes 使用者,都必須具有 ID。
您使用執行控制清單 (ECL) 設定工作站資料安全。ECL 保護使用者工作站以避免來自未知或可疑來源的作用中內容,可將 ECL 配置為限制在工作站上執行之任何作用中內容的動作。
您可以設定使用 CA 處理程序伺服器作業的 Domino® 發證者,以管理及處理憑證申請。CA 處理程序是在用來發出憑證的 Domino 伺服器上執行的處理程序。設定 Notes® 或網際網路發證者時,為了充分運用 CA 處理程序活動,您可將發證者鏈結至伺服器上的 CA 處理程序。僅 CA 程序的一個實例可以在伺服器上執行;不過,可以將該程序鏈結到多個發證者。
將 CertMgr 配置為自動啟動,方法為將 CertMgr 新增到 ServerTasks notes.ini 設定,或將其排定在「程式」文件中執行。第一次執行時,它會建立「憑證儲存庫」資料庫 (certstore.nsf)。
CertMgr
配置「廣域設定」以設定要用於憑證管理的預設值。
CertMgr 可簡化並保護 Domino Web 伺服器作業,方法為讓您能夠使用 ACME 通訊協定,自動要求、配置及免費更新來自 Let's Encrypt® 憑證管理中心 (CA)、廣泛信任的 TLS 憑證。
從 HCL Domino® 12 開始,在 Domino 伺服器上配置來自第三方憑證管理中心 (CA) 網際網路憑證的程序變得更簡單。
如果您在磁碟上具有尚未新增至「TLS 認證」文件的 TLS 認證,則可以使用 certstore.nsf 資料庫來進行匯入,如此 CertMgr 就可以使用這些認證。
您可以將「TLS 認證」文件中的認證匯出至檔案。
信任的根憑證允許 Web 伺服器接受連線中用戶端信任的根憑證。信任的根憑證亦有助於自動完成 CA 提供的部分憑證鏈。
您可以從微 CA 建立 Web 伺服器 TLS 憑證。
CertMgr 支援「橢圓曲線數位簽章演算法 (ECDSA)」將 NIST P-256 及 NIST P-384 曲線用於 ACME 帳戶,以及用於從 Let's Encrypt® CA 或第三方 CA 產生的 TLS 1.2 主機金鑰(金鑰環檔案)。
您可以要求 TLS 主機金鑰換用(更典型)或 ACME 帳戶金鑰換用。
load certmgr 指令可以搭配以下參數執行。
load certmgr
下列是可用的 CertMgr tell 指令。
CertMgr 作業會在匯入時檢查所匯入金鑰及憑證的性能,之後每 30 分鐘檢查一次。
用來啟用 CertMgr 除錯記載的 load certmgr -d 指令還包括正常的訊息記載,以提供疑難排解資訊的單一位置。此記載涉及來自 Let's Encrypt 憑證管理中心及第三方 CA 的憑證。
load certmgr -d
TLS 通訊協定始終提供已加密且已檢查整合性的通訊通道及已鑑別的伺服器身分。可選擇性地配置 TLS 伺服器,以申請各種形式的用戶端身分鑑別。
想要確定用戶端使用安全連線存取伺服器上的資料庫時,需要 TLS 連線。可藉由將透過 TCP/IP 埠進入的連線申請重新導向到 TLS 埠,來這樣做。若不需要 TLS 連線,則用戶端可以使用 TLS 或 TCP/IP 來連接至伺服器。
為了建立信任,某部伺服器可從其他伺服器取得網際網路交互憑證。例如,如果某部伺服器必須存取其他伺服器上的「目錄協助」。
在 Domino® 伺服器上設定 TLS 之後,必須對伺服器上的資料庫提供用戶端存取。
TLS 會使用公開、專用及協議的階段作業金鑰。每一組 TLS 憑證都有一個金鑰組(公開金鑰與私密金鑰),以及一個 X.509 憑證,讓憑證擁有者可在網路上識別自己的身分,並使用 S/MIME 加密及簽署訊息。憑證僅包含金鑰組的一半,即公開金鑰。私密金鑰保存在 Notes® 用戶端的 ID 檔案中,若為 TLS 伺服器,則保存在金鑰環或 cerstore.nsf 資料庫中。從 Domino 12 開始,Domino 同時支援 RSA 及 ECDSA 金鑰。如需相關資訊,請參閱wn_ECDSA_cryptography.html。
當網路用戶端透過伺服器鑑別時,伺服器預設會檢查主要「HCL Domino® 名錄」,查看「人員」文件中是否存在用戶端憑證。如果組織使用次要「Domino 名錄」及/或 LDAP 目錄來驗證用戶端憑證,則您可以設定 Domino 以檢查其他的目錄。若要這樣做,請將次要 Domino 及 LDAP 目錄設定為「目錄協助」資料庫中的信任網域。
TLS 階段作業恢復在使用 STL 時,會恢復上一次成功的 TLS 階段作業協議的相關資訊,以略過 TLS 階段作業金鑰協議計算量最大的部分,從而大幅增進效能。HTTP 是從 TLS 階段作業恢復受益最多的通訊協定,但其他網際網路通訊協定亦從中受益。
如果您不使用 Certificate Manager (CertMgr) 及「憑證儲存庫」(certstore.nsf) 資料庫來管理憑證,請依本節所述手動產生及管理憑證。
用戶端可以使用 Domino® 憑證管理中心 (CA) 應用程式或第三方 CA,來取得安全 TLS 及 S/MIME 通訊的憑證。
加密可保護資料不受未獲授權的存取。
名稱及密碼鑑別(也稱為基本密碼鑑別)使用基本的盤查/回應通訊協定來要求使用者提供名稱及密碼,並對儲存在「Domino® 名錄」中「人員」文件內的密碼安全雜湊進行檢查,以驗證密碼的正確性。
當使用者登入 Domo Web 伺服器時,您可以要求他們除了提供使用者名稱及密碼外,還要提供時間型一次性密碼。
多台伺服器階段作業型鑑別(也稱為單一登入 (SSO)),可讓網路使用者登入一次 Domino® 或 WebSphere® 伺服器,即可在啟用單次登入 (SSO) 的相同 DNS 網域中,存取任何其他 Domino 或 WebSphere 伺服器,而不需要再次登入。
聯合身分是達到單一登入的一種方法,可對使用者提供便利性,並協助降低管理成本。在 Domino® 與 Notes® 中,用於使用者鑑別的聯合身分會使用 OASIS 的安全主張標記語言 (SAML) 標準。
Domino® 伺服器可以使用認證儲存庫應用程式,作為安全的構件存放庫。安全構件的範例包括鑑別憑證及安全金鑰。
本文章提供從舊版到現行版本由 Notes® 和 Domino® 所支援的 RSA 金鑰大小的相關資訊。