Welcome
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
TLS 安全
传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
验证辅助Domino®和 LDAP 目录中的 Web TLS 客户端
当 Web 客户端向服务器进行身份验证时，默认情况下，服务器会检查主HCL Domino®目录以查看“个人”文档中是否存在客户端证书。如果您的组织使用辅助 Domino 目录和/或 LDAP 目录来验证客户端证书，您可以设置 Domino 来检查这些附加目录。为此，您需要将辅助 Domino 和 LDAP 目录设置为目录服务数据库中的受信任域。

Welcome
Welcome to the HCL Domino® 14.0 documentation.
What's new in Domino 14?
Learn about all of the new features for administrators in HCL Domino® 14.
Overview
Welcome to HCL Domino® Administrator Help.
Installing
Use this documentation to install the HCL Domino® server and subsequently deploy the HCL Notes®client.
Planning
Use this topic as an overview of planning task.
Configuring
Use this information to configure your network, users, servers (including Web servers), directory services, security, messaging, widgets and live text, and server clusters.
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
- Domino 安全性概述
  为您的组织设置安全性是一项关键任务。您的安全基础设施对于保护组织的 IT 资源和资产至关重要。作为管理员，在设置任何服务器或用户之前，您需要仔细考虑组织的安全要求。前期规划可以在以后最大限度地降低安全性受损的风险方面发挥作用。
- Notes®用户、Internet 用户和Domino®服务器的服务器访问
  为了控制用户和服务器对其他服务器的访问， Domino®使用您在“服务器”文档的“安全”选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证Notes®用户、Internet 用户或服务器，并且服务器文档中的设置允许访问，则允许用户或服务器访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL)，用于指定用户和服务器对该数据库的访问级别。尽管用户和服务器的访问级别名称相同，但分配给用户的访问级别名称决定了他们可以在数据库中执行的任务，而分配给服务器的访问级别名称则决定了服务器可以复制数据库中的哪些信息。只有具有管理员访问权限的人员才能创建或修改 ACL。
- Domino®服务器和Notes®用户 ID
  Domino®使用 ID 文件来识别用户并控制对服务器的访问。每个 Domino 服务器、 Notes®验证者和 Notes 用户都必须有一个 ID。
- 执行控制列表
  您可以使用执行控制列表 (ECL) 来配置工作站数据安全性。ECL 保护用户工作站免受来自未知或可疑来源的活动内容的影响，并且可以配置为限制在工作站上运行的任何活动内容的操作。
- 基于Domino®服务器的证书颁发机构
  您可以设置使用 CA 进程服务器任务来管理和处理证书请求的Domino®验证者。CA 进程作为 Domino 服务器上的进程运行，用于颁发证书。当您设置Notes®或 Internet 验证者时，您可以将其链接到服务器上的 CA 进程，以便利用 CA 进程活动。一台服务器上只能运行一个CA进程实例；然而，该过程可以链接到多个验证者。
- TLS 安全
  传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
  - 使用证书管理器管理 TLS 证书
    HCL Domino® 12 引入了一项新的服务器任务，即证书管理器 (CertMgr)，它与新数据库证书存储 (certstore.nsf) 配合使用，以管理 Domino 环境中的 TLS 证书。
  - TLS 端口配置
    TLS 协议始终提供加密的、经过完整性检查的通信通道和经过身份验证的服务器身份。可以选择配置 TLS 服务器来请求各种形式的客户端身份验证。
  - 需要与服务器建立 TLS 连接
    当您想要确保客户端使用安全连接访问服务器上的数据库时，需要 TLS 连接。您可以通过将通过 TCP/IP 端口传入的连接请求重定向到 TLS 端口来实现此目的。如果不需要 TLS 连接，客户端可以使用 TLS 或 TCP/IP 连接到服务器。
  - 为服务器到服务器 TLS 创建 Internet 交叉证书
    一台服务器可以从另一台服务器获取 Internet 交叉证书以建立信任。例如，如果一台服务器需要访问另一台服务器上的目录服务。
  - 为 TLS 客户端设置数据库访问
    在Domino®服务器上设置 TLS 后，必须授予客户端对服务器上数据库的访问权限。
  - 修改 TLS 密码限制
    TLS 使用公共、私有和协商的会话密钥。每组 TLS 凭据都有一对密钥（公钥和私钥）以及 X.509 证书，使证书所有者能够通过网络识别自己的身份，并使用 S/MIME 来加密和签署消息。证书仅包含密钥对的公共部分。对于Notes®客户端，私钥保存在 ID 文件中；对于 TLS 服务器，私钥保存在密钥环文件或 cerstore.nsf 数据库中。从 Domino 12 开始，Domino 支持 RSA 和 ECDSA 密钥。有关更多信息，请参阅wn_ECDSA_cryptography.html 。
  - 验证辅助Domino®和 LDAP 目录中的 Web TLS 客户端
    当 Web 客户端向服务器进行身份验证时，默认情况下，服务器会检查主HCL Domino®目录以查看“个人”文档中是否存在客户端证书。如果您的组织使用辅助 Domino 目录和/或 LDAP 目录来验证客户端证书，您可以设置 Domino 来检查这些附加目录。为此，您需要将辅助 Domino 和 LDAP 目录设置为目录服务数据库中的受信任域。
  - TLS 会话恢复
    TLS 会话恢复通过调用先前成功的 TLS 会话协商中的信息来绕过 TLS 会话密钥协商中计算最密集的部分，从而极大地提高了使用 TLS 时的性能。HTTP 是从 TLS 会话恢复中获益最多的协议，但其他 Internet 协议也可能受益。
  - 无需证书管理器管理 TLS 证书
    如果您不使用证书管理器 (CertMgr) 和证书存储 (certstore.nsf) 数据库管理证书，则可以手动生成和管理证书，如本节中所述。
- 客户端的 TLS 和 S/MIME
  客户端可以使用Domino®证书颁发机构 (CA) 应用程序或第三方 CA 来获取用于安全 TLS 和 S/MIME 通信的证书。
- 加密
  加密可保护数据免遭未经授权的访问。
- 基于网络的身份验证
  定义和设置 Web 用户的身份验证方法，例如通过基本密码身份验证、密钥、基于时间的一次性密码或单点登录。
- 使用凭证存储来存储凭证
  Domino®服务器可以使用凭证存储应用程序作为安全工件存储库。安全工件的示例包括身份验证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解Notes®和Domino®从过去版本到当前版本支持的 RSA 密钥大小。
Administering
This documentation provides information about the administration tools for HCL Domino.
Tuning
Use this information to improve HCL Domino® server, Domino Web server, and messaging performance through the use of resource balancing and activity trends, advanced database properties, cluster statistics, and the Server Health Monitor.
Troubleshooting
This section describes how to find and solve problems with HCL Domino® server and Administrator client.
Notices

在辅助Domino ®和 LDAP 目录中验证 Web TLS 客户端

当 Web 客户端与服务器进行身份验证时，默认情况下，服务器会检查主HCL Domino ®目录以查看客户端证书是否存在于“个人”文档中。如果您的组织使用辅助Domino ®目录和/或 LDAP 目录来验证客户端证书，则可以设置Domino ®来检查这些附加目录。为此，请在 Directory Assistance 数据库中将辅助Domino ®和 LDAP 目录设置为受信任域。

当您将域标记为可信时， Domino ®会在主Domino ®目录中搜索用户，然后搜索可信的辅助Domino ®和 LDAP 目录。设置目录服务时，请指定Domino ®搜索辅助目录的顺序。

此外，当您使用Domino ®证书颁发机构应用程序将 TLS 客户端证书添加到Domino ®目录时， Domino ®会检查您信任的主Domino ®目录和辅助目录。但是，即使 LDAP 目录是在Domino ®服务器上设置的，您也无法将客户端证书添加到 LDAP 目录中。

建议您使用 TLS 来保护在服务器和 LDAP 目录服务器之间发送的信息。

将根据 Directory Assistance 数据库中的受信任规则检查Domino ®目录或 LDAP 目录返回的层次名称，以验证组织和组织单位是否与指定的规则匹配。例如，如果返回的用户名是 Dave Lawson/Renovations，则 Directory Assistance 文档必须包含规则 */Renovations.

搜索多个目录也可用于对使用名称和密码验证的用户进行身份验证。

To add feedback about this topic, select the following checkbox:

By clicking this box, you acknowledge that you are NOT a U.S. Federal Government employee or agency, nor are you submitting information with respect to or on behalf of one. HCL provides software and services to U.S. Federal Government customers through its partners Four, Inc. Contact this team at https://hcltechsw.com/resources/us-government-contact. Do not include any personal data in this Comment box. Note: To report a problem or question about the product software, do not use this form. Instead, go to the HCL Software Support site. Personal data should not be shared in this comment box. See our Privacy Statement to understand how personal data is used.