主页
保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
客户端的 TLS 和 S/MIME
客户端可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
将可信证书推送到 Notes® 客户端
可以在 Domino® 目录中为因特网验证者和 Notes® 验证者创建交叉证书，然后将这些交叉证书推送到 Notes 客户端上的“联系人”应用程序。在访问服务器、读取加密的 S/MIME 邮件或安装已签署的 Notes 客户端插件时，将使用这些交叉证书来建立客户端对验证者的信任。在推送交叉证书时，用户无需创建这些交叉证书或从 Domino 目录中检索这些交叉证书。
用户如何手动获得信任证书
CA 的证书的副本称为信任根证书。获取信任根证书以及（如果使用的是 Notes® 客户端）根证书的因特网交叉证书之后，客户端将信任该 CA 以及（通过扩展）该 CA 发布的任何证书。如果您要为因特网客户端设置服务器认证，应将此信任根添加到本地文件中。如果要为 Notes 客户端设置服务器认证，请将此信任根添加到用户可访问的 Domino® 目录中，以在其“联系人”中生成交叉证书。
为 CA 创建因特网交叉证书
HCL Domino®客户端必须首先为 CA 服务器创建交叉证书并将其存储在“联系人”中，然后才能向服务器认证或发送安全的 S/MIME 邮件。这使 HCL Notes®客户端能够信任具有该 CA 发布的证书的服务器或客户端。

保护安全
本部分描述安全性功能，包括执行控制列表、标识和 TLS。
- Domino 安全性概述
  设置组织的安全性是一项很关键的重要任务。要保护组织的 IT 资源和资产，安全性基础结构是十分关键的。作为管理员，在设置任何服务器或用户之前，应仔细考虑组织的安全性需求。提前规划可使日后危及安全性的风险降至最小。
- Notes® 用户、因特网用户和 Domino® 服务器的服务器访问权
  为了控制用户和服务器对其他服务器的访问权，Domino® 使用在“服务器”文档的安全性选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证了 Notes® 用户、因特网用户或服务器，并且“服务器”文档中的设置允许访问，那么该用户或服务器就可以访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL) 用于指定用户和服务器对该数据库的访问权限。尽管用户和服务器的访问权限的名称是一样的，但是指定给用户的级别决定用户在数据库中所能执行的任务，而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”访问权限的用户才能创建或修改 ACL。
- Domino® 服务器和 Notes® 用户标识
  Domino® 使用标识文件来标识用户并控制对服务器的访问。每个 Domino 服务器、Notes® 验证者和 Notes 用户都必须具有一个标识。
- 执行控制列表
  使用执行控制列表 (ECL) 可设置工作站数据的安全性。ECL 保护用户工作站不受未知或可疑的活动内容的攻击，也可以进行相应的配置以限制在工作站上运行的任何活动内容的操作。
- Domino® 基于服务器的认证中心
  您可以将使用服务器“CA 进程”任务的 Domino® 验证者设置为管理和处理证书请求。CA 进程是在 Domino 服务器上运行的进程，用于发布证书。设置了 Notes® 或因特网验证者后，应将其链接到服务器上的 CA 进程，以利用 CA 进程活动。CA 进程中只有一个实例可以运行在服务器上，但是此进程可以链接到多个验证者。
- TLS 安全性
  传输层安全性 (TLS) 是一种安全协议，它为通过 TCP/IP 运行的 Domino® 服务器任务提供通信保密和认证。
- 客户端的 TLS 和 S/MIME
  客户端可以使用 Domino® 认证中心 (CA) 应用程序或第三方 CA 获取证书，以进行安全的 TLS 和 S/MIME 通信。
  - 设置 Notes® 客户端和因特网客户端以进行 TLS 认证
    可以将 Notes® 客户端或其他因特网客户端设置为进行服务器认证，以在连接到因特网服务器时加密数据并认证服务器身份。如果只对客户端设置服务器认证，则无需因特网证书。
  - 将可信证书推送到 Notes® 客户端
    可以在 Domino® 目录中为因特网验证者和 Notes® 验证者创建交叉证书，然后将这些交叉证书推送到 Notes 客户端上的“联系人”应用程序。在访问服务器、读取加密的 S/MIME 邮件或安装已签署的 Notes 客户端插件时，将使用这些交叉证书来建立客户端对验证者的信任。在推送交叉证书时，用户无需创建这些交叉证书或从 Domino 目录中检索这些交叉证书。
    - 将因特网验证者导入到 Domino® 目录
      要准备将 Notes® 客户端设置为信任第三方因特网验证者，请首先将该验证者导入到 Domino® 目录。因特网验证者可以是您从 CA（如 VeriSign）购买的验证者，也可以是您自己使用工具（如 Sun Java™ 软件开发包 (SDK) 随附的密钥和证书管理工具 (keytool)）创建的自签名证书。无论属于哪种情况，证书都必须基于 RSA 密钥算法，否则将无法将其导入。如果创建自签名证书，请记住指定使用 RSA 密钥算法。
    - 在 Domino 目录中，从验证者文档创建因特网交叉证书
      您可以在 HCL Domino®目录中为因特网证书创建交叉证书。完成此步骤后，可以将交叉证书推送到 HCL Notes®客户端以在客户端上建立验证者信任。
    - 通过安全性策略设置将证书应用到客户端
      如果已在 Domino® 目录中创建了因特网验证者或 Notes® 验证者的交叉证书，可以使用安全策略设置将其推送到 Notes 客户端的“联系人”。也可选择应用因特网验证者。用户可以在“联系人”中查看该交叉证书或验证者，但无法对其进行编辑或删除。
    - 用户如何手动获得信任证书
      CA 的证书的副本称为信任根证书。获取信任根证书以及（如果使用的是 Notes® 客户端）根证书的因特网交叉证书之后，客户端将信任该 CA 以及（通过扩展）该 CA 发布的任何证书。如果您要为因特网客户端设置服务器认证，应将此信任根添加到本地文件中。如果要为 Notes 客户端设置服务器认证，请将此信任根添加到用户可访问的 Domino® 目录中，以在其“联系人”中生成交叉证书。
      - 为 CA 创建因特网交叉证书
        HCL Domino®客户端必须首先为 CA 服务器创建交叉证书并将其存储在“联系人”中，然后才能向服务器认证或发送安全的 S/MIME 邮件。这使 HCL Notes®客户端能够信任具有该 CA 发布的证书的服务器或客户端。
  - 用于 TLS 和 S/MIME 的因特网证书
    因特网客户端和 Notes® 客户端必须具有因特网证书，才能使用客户端认证或发送签名邮件。要使用 S/MIME 发送加密邮件，这些客户端必须具有收件人的因特网证书。
  - 为 S/MIME 设置 Notes® 客户端
    可以将 Notes® 客户端设置为在向支持 S/MIME 的邮件应用程序的其他用户发送邮件时使用 S/MIME 加密和电子签名。
  - 设置 Notes® 客户端和因特网客户端以进行 TLS 客户端认证
    可以设置 Notes® 客户端或因特网客户端以对服务器进行客户端认证。不能对 SMTP 和 IIOP 连接使用客户端认证。
  - 使用 SMTP 为 Notes® 或 Domino® 设置 TLS
    向 SMTP 服务器路由邮件时，Notes® 客户端或 Domino® 服务器可以充当 SMTP 客户端。Notes 客户端或 Domino 服务器可以使用 TLS 连接到运行 SMTP 服务的 Domino 服务器，或连接到其他类型的 SMTP 服务器。使用 SMTP 进行连接时，不能设置 Notes 客户端或 Domino 服务器进行 TLS 客户端认证。
  - 对 LDAP 目录设置目录辅助时使用 TLS
    通过目录辅助，可以将目录辅助从服务器的主 Domino® 目录扩展到其他 Notes® 目录（如辅助 Domino 目录）和远程 LADP 目录。要设置目录辅助，应根据 DA.NTF 模板创建目录辅助数据库，然后在该数据库中创建“Directory Assistance”文档，以便为特定目录配置服务。
  - OCSP for X.509 认证撤销检查
    联机证书状态协议 (OCSP) 使应用程序能确认已识别证书的撤销状态。OCSP 可以提供比认证撤销列表 (CRL) 更及时的撤销信息，满足操作需求，并且不能用于获取额外的状态信息。OCSP 客户端向 OCSP 响应器发送一个状态请求，在响应器作出反映之前，客户端处于悬停认证接受状态。
- 加密
  加密可以保护数据不受到未经授权的访问。
- 因特网/内部网客户端的名称和密码认证
  名称和密码认证（也称为基本密码认证）使用基本的提问/应答协议来向用户询问其名称和密码，然后通过将密码与存储在 Domino® 目录中“个人”文档内的密码安全散列进行检查，从而验证密码的准确性。
- 基于时间的一次性密码 (TOTP) 认证
  当用户登录到 Domino Web 服务器时，除了用户名和密码之外，您可以要求他们提供基于时间的一次性密码。
- 基于会话的多服务器认证（单点登录）
  基于会话的多服务器认证（也称单点登录 (SSO)）允许 Web 用户只需登录到 Domino® 或 WebSphere® 服务器一次，然后不必再次登录即可访问同一 DNS 域中启用了单点登录 (SSO) 的其他任何 Domino 或 WebSphere 服务器。
- 使用安全性断言标记语言 (SAML) 来配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。在 Domino®和 Notes® 中，用户认证的联合身份使用来自 OASIS 的安全性断言标记语言 (SAML) 标准。
- 使用 OpenID Connect (OIDC) 配置联合身份认证
  联合身份是实现单点登录，为用户提供方便并帮助减少管理成本的方式。客户端应用程序对用户进行认证的一种方法是使用 OpenID Connect (OIDC) 提供者。
- 使用凭证库来存储凭证
  Domino® 服务器可将凭证库应用程序用作安全的工件存储库。安全工件的示例包括认证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解 Notes® 和 Domino®（从过去发行版到当前发行版）支持的 RSA 密钥大小。

为 CA 创建因特网交叉证书

HCL Domino®客户端必须首先为 CA 服务器创建交叉证书并将其存储在“联系人”中，然后才能向服务器认证或发送安全的 S/MIME 邮件。这使 HCL Notes®客户端能够信任具有该 CA 发布的证书的服务器或客户端。

关于此任务

客户端使用可信根证书创建交叉证书。一旦创建了交叉证书，客户端便不再需要可信根证书。

因特网客户端（非 Notes）的 SSL 服务器认证无需交叉证书。

Notes 客户端还可以为服务器或客户端创建交叉证书，但这样做将使 Notes 客户端只信任该服务器或客户端。Notes 客户端不会信任具有由 CA 发布的证书的其他服务器和客户端。

注：最佳做法是将可信交叉证书应用到 Notes 客户端联系人，而不是让用户自己从 Domino 目录中进行检索。

过程

确保 CA 已在 Domino 目录中创建可信根证书。
指导客户端通过“用户安全性”对话框获取因特网交叉证书。

结果

Notes 用户可以查看“联系人”中包含的因特网交叉证书。有关 Notes 用户如何查看和检索自己的因特网交叉证书的信息，请参阅“Notes 帮助”。