欢迎
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
TLS 安全
传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
TLS 端口配置
TLS 协议始终提供加密的、经过完整性检查的通信通道和经过身份验证的服务器身份。可以选择配置 TLS 服务器来请求各种形式的客户端身份验证。

欢迎
欢迎阅读 HCL Domino ® 14.0 文档。
Domino 14 有哪些新功能？
了解 HCL Domino ® 14 中针对管理员的所有新功能。
概述
欢迎使用 HCL Domino ® 管理员帮助。
安装中
使用此文档安装HCL Domino ®服务器并随后部署HCL Notes® 客户端。
规划
使用本主题作为规划任务的概述。
配置
使用此信息来配置您的网络、用户、服务器（包括 Web 服务器）、目录服务、安全性、消息传递、小部件和实时文本以及服务器集群。
固定
本节介绍安全功能，包括执行控制列表、ID 和 TLS。
- Domino 安全性概述
  为您的组织设置安全性是一项关键任务。您的安全基础设施对于保护组织的 IT 资源和资产至关重要。作为管理员，在设置任何服务器或用户之前，您需要仔细考虑组织的安全要求。前期规划可以在以后最大限度地降低安全性受损的风险方面发挥作用。
- Notes®用户、Internet 用户和Domino®服务器的服务器访问
  为了控制用户和服务器对其他服务器的访问， Domino®使用您在“服务器”文档的“安全”选项卡上指定的设置以及验证和认证规则。如果服务器验证并认证Notes®用户、Internet 用户或服务器，并且服务器文档中的设置允许访问，则允许用户或服务器访问该服务器。
- 数据库访问控制列表
  每个 .NSF 数据库都有一个访问控制列表 (ACL)，用于指定用户和服务器对该数据库的访问级别。尽管用户和服务器的访问级别名称相同，但分配给用户的访问级别名称决定了他们可以在数据库中执行的任务，而分配给服务器的访问级别名称则决定了服务器可以复制数据库中的哪些信息。只有具有管理员访问权限的人员才能创建或修改 ACL。
- Domino®服务器和Notes®用户 ID
  Domino®使用 ID 文件来识别用户并控制对服务器的访问。每个 Domino 服务器、 Notes®验证者和 Notes 用户都必须有一个 ID。
- 执行控制列表
  您可以使用执行控制列表 (ECL) 来配置工作站数据安全性。ECL 保护用户工作站免受来自未知或可疑来源的活动内容的影响，并且可以配置为限制在工作站上运行的任何活动内容的操作。
- 基于Domino®服务器的证书颁发机构
  您可以设置使用 CA 进程服务器任务来管理和处理证书请求的Domino®验证者。CA 进程作为 Domino 服务器上的进程运行，用于颁发证书。当您设置Notes®或 Internet 验证者时，您可以将其链接到服务器上的 CA 进程，以便利用 CA 进程活动。一台服务器上只能运行一个CA进程实例；然而，该过程可以链接到多个验证者。
- TLS 安全
  传输层安全性 (TLS) 是一种安全协议，为通过 TCP/IP 运行的Domino®服务器任务提供通信隐私和身份验证。
  - 使用证书管理器管理 TLS 证书
    HCL Domino® 12 引入了一项新的服务器任务，即证书管理器 (CertMgr)，它与新数据库证书存储 (certstore.nsf) 配合使用，以管理 Domino 环境中的 TLS 证书。
  - TLS 端口配置
    TLS 协议始终提供加密的、经过完整性检查的通信通道和经过身份验证的服务器身份。可以选择配置 TLS 服务器来请求各种形式的客户端身份验证。
    - 配置 TLS 端口
      您可以将端口配置为仅使用服务器身份验证或同时使用服务器和客户端身份验证。
  - 需要与服务器建立 TLS 连接
    当您想要确保客户端使用安全连接访问服务器上的数据库时，需要 TLS 连接。您可以通过将通过 TCP/IP 端口传入的连接请求重定向到 TLS 端口来实现此目的。如果不需要 TLS 连接，客户端可以使用 TLS 或 TCP/IP 连接到服务器。
  - 为服务器到服务器 TLS 创建 Internet 交叉证书
    一台服务器可以从另一台服务器获取 Internet 交叉证书以建立信任。例如，如果一台服务器需要访问另一台服务器上的目录服务。
  - 为 TLS 客户端设置数据库访问
    在Domino®服务器上设置 TLS 后，必须授予客户端对服务器上数据库的访问权限。
  - 修改 TLS 密码限制
    TLS 使用公共、私有和协商的会话密钥。每组 TLS 凭据都有一对密钥（公钥和私钥）以及 X.509 证书，使证书所有者能够通过网络识别自己的身份，并使用 S/MIME 来加密和签署消息。证书仅包含密钥对的公共部分。对于Notes®客户端，私钥保存在 ID 文件中；对于 TLS 服务器，私钥保存在密钥环文件或 cerstore.nsf 数据库中。从 Domino 12 开始，Domino 支持 RSA 和 ECDSA 密钥。有关更多信息，请参阅wn_ECDSA_cryptography.html 。
  - 验证辅助Domino®和 LDAP 目录中的 Web TLS 客户端
    当 Web 客户端向服务器进行身份验证时，默认情况下，服务器会检查主HCL Domino®目录以查看“个人”文档中是否存在客户端证书。如果您的组织使用辅助 Domino 目录和/或 LDAP 目录来验证客户端证书，您可以设置 Domino 来检查这些附加目录。为此，您需要将辅助 Domino 和 LDAP 目录设置为目录服务数据库中的受信任域。
  - TLS 会话恢复
    TLS 会话恢复通过调用先前成功的 TLS 会话协商中的信息来绕过 TLS 会话密钥协商中计算最密集的部分，从而极大地提高了使用 TLS 时的性能。HTTP 是从 TLS 会话恢复中获益最多的协议，但其他 Internet 协议也可能受益。
  - 无需证书管理器管理 TLS 证书
    如果您不使用证书管理器 (CertMgr) 和证书存储 (certstore.nsf) 数据库管理证书，则可以手动生成和管理证书，如本节中所述。
- 客户端的 TLS 和 S/MIME
  客户端可以使用Domino®证书颁发机构 (CA) 应用程序或第三方 CA 来获取用于安全 TLS 和 S/MIME 通信的证书。
- 加密
  加密可保护数据免遭未经授权的访问。
- 基于网络的身份验证
  定义和设置 Web 用户的身份验证方法，例如通过基本密码身份验证、密钥、基于时间的一次性密码或单点登录。
- 使用凭证存储来存储凭证
  Domino®服务器可以使用凭证存储应用程序作为安全工件存储库。安全工件的示例包括身份验证凭证和安全密钥。
- Notes 和 Domino 中支持的密钥大小的历史记录
  了解Notes®和Domino®从过去版本到当前版本支持的 RSA 密钥大小。
管理
本文档提供有关 HCL Domino 管理工具的信息。
调音
使用此信息通过使用资源平衡和活动趋势、高级数据库属性、集群统计信息和服务器健康监视器来改善HCL Domino ®服务器、 Domino Web 服务器和消息传递性能。
故障排除
本节介绍如何查找和解决HCL Domino ®服务器和管理员客户端的问题。
通知

TLS 端口配置

TLS 协议始终提供加密的、经过完整性检查的通信通道和经过身份验证的服务器身份。可以选择配置 TLS 服务器来请求各种形式的客户端身份验证。

您必须根据每个协议启用 TLS。某些 Internet 协议不支持客户端证书认证。

要设置 TLS 身份验证端口，请执行以下操作：

配置端口。
确定您是否要求用户仅使用 TLS 或同时使用 TLS 和 TCP/IP 访问服务器。

如果您正在使用“Internet 站点”文档，则可以在“Internet 站点”文档中为每个协议配置大多数 TLS 端口参数。但是，您仍然必须在服务器文档中为每个 Internet 协议配置以下设置：TCP/IP 端口和状态、TLS 端口和状态。您还必须指定是否要强制执行给定协议的 TCP/IP 端口的服务器访问设置。

仅使用服务器身份验证

服务器身份验证对数据进行加密并验证服务器身份。要通过用户名控制对服务器上的数据库的访问，请设置名称和密码验证。仅为服务器身份验证启用 TLS：

服务器必须具有来自Domino ®或第三方 CA 的证书。
客户端必须将服务器的 CA 证书标记为受信任的root。客户端还可以通过为 TLS 服务器证书创建交叉证书来直接信任该证书。
如果您正在使用Notes®客户端，则Notes®客户端必须具有服务器 CA 或 TLS 服务器证书的交叉证书。

使用客户端证书身份验证

除了服务器身份验证提供的安全性之外，客户端证书身份验证还通过使用 Internet (x.509) 客户端证书来验证客户端的身份。使用服务器和客户端证书身份验证，您可以通过在数据库 ACL 中指定单个客户端用户名来控制对数据库的访问。要为客户端证书身份验证启用 TLS：

完成上一节中的服务器身份验证要求。
客户端必须具有来自Domino ®或第三方 CA 的证书。
服务器必须将客户端的 CA 证书标记为受信任的root。
每个客户端在Domino ®目录中都必须有一个“个人”文档，其中包含来自客户端证书的 TLS 公钥。

要添加有关此主题的反馈，请选中以下复选框：

单击此框即表示您承认您不是美国联邦政府雇员或机构，也不会提交与其中或代表其相关的信息。HCL 通过其合作伙伴 Four, Inc 向美国联邦政府客户提供软件和服务。请通过https://hcltechsw.com/resources/us-government-contact联系该团队。请勿在此评论框中包含任何个人数据。 注意：要报告有关产品软件的问题或疑问，请勿使用此表单。相反，请访问HCL 软件支持站点。不应在此评论框中共享个人数据。请参阅我们的隐私声明以了解如何使用个人数据。