SSL验证的服务器端的配置方法
一、安装条件
将服务器设置为 WEB 服务器, HTTP服务已启动
二、步骤:
1. 首先创建CA验证的的数据库
使用"Domino 验证字权威"模板 (CCA50.NTF) 创建"Domino 验证字权威"的数据库
2. 创建 CA 密钥组文件和验证字
在NOTES工作台上打开CCA50.NSF数据库.单击"创建验证字权威密钥组和验证字"(如果提示没有权限,请重新启动一次NOTES)
域 |
输入 |
密钥组文件名 |
缺省目录为本地,缺省文件名是CAKey.kyr. |
密钥组口令 |
建议至少为 6个字符. |
口令校验 |
重复口令,进行确认. |
密钥长度 |
北美是1024位,国际范围选择512位 |
公共名称 |
例如ACME CA |
组织 |
例如ACME |
组织单元 |
(可选)验证字所有者所在的部门. |
城市 |
(可选)验证字所有者居住的城市或城镇. |
省 |
例如:ShangHai 请不要使用所写,如SH |
国家 |
验证字所有者所在国家,用两个字符表示,例如: CN (中国) |
注释:公共名称、组织、组织单元、城市、省和国家构成 CA 服务器的专有名称.请认真选择 CA 名称.注意做好CAKey.kyr的备份工作
3. 创建服务器密钥组文件
打开数据库CERTSRV.NSF(此数据库是Domino 在服务器安装时自动创建的数据库),创建服务器密钥集文件用来保存服务器验证字.
域 |
输入 |
密钥组文件名 |
缺省目录为本地,缺省文件名是 keyfile.kyr |
密钥组口令 |
建议至少为 6个字符. |
确认口令 |
重复口令,进行确认. |
密钥长度 |
北美是1024位,国际范围选择512位 |
公共名称 |
例如:www.lotus.com |
组织 |
例如:ACME |
组织单元 |
(可选)验证字所有者所在的部门. |
城市 |
(可选)验证字所有者居住的城市或城镇. |
省 |
例如:ShangHai(请不要使用缩写,如SH) |
国家 |
验证字所有者所在国家,用两个字符表示,例如: CN (中国) |
注意:必须保证Stash存储文件中的密钥集口令受到保护.密钥集文件口令在Stash存储文件中被改变,因此它不能被潜在的入侵者识别,但没有加密此密钥集文件口令.不应该允许未授权的个人访问Stash存储或密钥集文件.在正常的操作过程中,只有服务器本身可以访问这些文件;不过,管理员在删除或替换这些文件时也可能需要具有权限.正如所有 Web 服务器资源一样,适当的文件权限和文件保护对系统的安全性是不可缺少的.
4. 创建验证字请求
单击"创建验证字请求"
域 |
输入 |
密钥组文件名 |
Keyfile.kyr存放的路径 |
记录验证字请求 |
选择其一: "是"(缺省),在"服务器验证字管理"应用程序中记录信息 "否",不记录信息 |
方法 |
选择"粘贴到CA 站点上的表单" |
输入服务器密钥集文件的口令. |
|
将验证字拷贝至剪贴板(包括"开始验证字"和"结束验证字"两行),然后单击"确定".
从 Domino 验证字权威申请
5. 在 Notes 中打开数据库CERTSRV.NSF (此数据库是Domino 在服务器安装时自动创建的数据库.)
6. 单击"将密钥组安装信任根验证字".
7. 输入按如下格式输入, 假设将密钥集文件 KEYFILE.KYR 和中断 KEYFILE.STH) 文件拷贝到服务器的如下位置d:/lotus/domino/data 下,则输入 d:/lotus/domino/data KEYFILE.KYR.
8. 在验证字标签中输入 【CAKeyPair】 .
9. 在"验证字来源"域中选择"剪贴板".将剪贴板内容粘贴至下一个域.
10. 单击"向密钥集合并信任根验证字".
11. 输入密钥集文件的口令,然后单击"确定".
在NOTES工作台上打开cca50.nsf数据库
从 Domino 服务器提取验证字 CA 证书
将验证字拷贝到剪贴板(包括"开始验证字"和"结束验证字"两行).
三、配置 SSL 端口
1. 打开"服务器"文档.
2. 单击"端口""Internet 端口"附签.
3. 完成下列各域:
域 |
输入 |
SSL 密钥文件 |
服务器使用的服务器密钥集文件的文件名.例如:如果到密钥文件的完整路径为 d:lotusdominodatakeyfile.kyr,则可输入 keyfile.kyr. 将密钥组文件 keyfile.kyr 和中断 keyfile.sth 文件拷贝到服务器的 Domino 数据目录下. 注释 Domino 不对 IIOP 使用此域,该协议使用单独的密钥集文件.不能更改 IIOP 密钥集文件的文件名. |
SSL 协议版本 |
默认 |
接受 SSL 站点验证字 |
选择"是" |
接受过期的 SSL 验证字 |
选择"否" |
4. 单击对应于要配置的协议的附签,然后完成下列域:
域 |
输入 |
SSL 端口号 |
默认 |
SSL 端口状态 |
选择"启用" . |
客户验证字 |
选择"是" |
名称和口令 |
选择 "是" |
匿名 |
选择 "否" |
确定是要求用户仅使用 SSL 访问服务器,还是同时使用 SSL 和 TCP/IP 访问服务器要求到服务器的 SSL 连接在服务器上设置了 SSL 后,可以逐个协议地要求其使用 SSL 连接.
例如:可以强制客户机和服务器使用 SSL 连接到特定的服务器端口,并拒绝那些使用 TCP/IP 连接到该端口的客户机和服务器的访问.
在希望确保客户机使用安全连接访问服务器上的数据库时,应要求 SSL 连接.
如果不要求 SSL 连接,则客户机可以使用 SSL 或 TCP/IP 连接到服务器.
可以要求服务器上的所有数据库或单个数据库使用 SSL 连接.
对于服务器上的所有数据库
1. 在 Domino Administrator 中,单击"配置"附签,然后打开"服务器"文档.
2. 单击"端口""Internet 端口"附签.
3. 单击协议附签.
4. 在"TCP/IP 端口状态"域中选择"重定向到 SSL".
注释 NNTP、POP3 和 SMTP 不支持"重定向到 SSL"设置.
对于单个数据库
1. 启动 Notes 客户机.
2. 选择要强制客户机对其使用 SSL 连接的数据库.
3. 打开"数据库属性"框.
4. 在"基本"附签中选择"Web 访问:需要 SSL 连接"
以上配置完成以后重新启动服务器或者只启动http服务
重启 http 服务的命令
关闭 http 服务 tell http quit
启动 http 服务 load http
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞1
添加新评论0 条评论