配置Domino Web服务器启用HTTPS
SSL验证的服务器端的配置方法
一、安装条件
将服务器设置为 WEB 服务器, HTTP服务已启动
二、步骤:
1. 首先创建CA验证的的数据库
使用"Domino 验证字权威"模板 (CCA50.NTF) 创建"Domino 验证字权威"的数据库
2. 创建 CA 密钥组文件和验证字
在NOTES工作台上打开CCA50.NSF数据库.单击"创建验证字权威密钥组和验证字"(如果提示没有权限,请重新启动一次NOTES)
|
域 |
输入 |
|
密钥组文件名 |
缺省目录为本地,缺省文件名是CAKey.kyr. |
|
密钥组口令 |
建议至少为 6个字符. |
|
口令校验 |
重复口令,进行确认. |
|
密钥长度 |
北美是1024位,国际范围选择512位 |
|
公共名称 |
例如ACME CA |
|
组织 |
例如ACME |
|
组织单元 |
(可选)验证字所有者所在的部门. |
|
城市 |
(可选)验证字所有者居住的城市或城镇. |
|
省 |
例如:ShangHai 请不要使用所写,如SH |
|
国家 |
验证字所有者所在国家,用两个字符表示,例如: CN (中国) |
注释:公共名称、组织、组织单元、城市、省和国家构成 CA 服务器的专有名称.请认真选择 CA 名称.注意做好CAKey.kyr的备份工作
3. 创建服务器密钥组文件
打开数据库CERTSRV.NSF(此数据库是Domino 在服务器安装时自动创建的数据库),创建服务器密钥集文件用来保存服务器验证字.
|
域 |
输入 |
|
密钥组文件名 |
缺省目录为本地,缺省文件名是 keyfile.kyr |
|
密钥组口令 |
建议至少为 6个字符. |
|
确认口令 |
重复口令,进行确认. |
|
密钥长度 |
北美是1024位,国际范围选择512位 |
|
公共名称 |
例如:www.lotus.com |
|
组织 |
例如:ACME |
|
组织单元 |
(可选)验证字所有者所在的部门. |
|
城市 |
(可选)验证字所有者居住的城市或城镇. |
|
省 |
例如:ShangHai(请不要使用缩写,如SH) |
|
国家 |
验证字所有者所在国家,用两个字符表示,例如: CN (中国) |
注意:必须保证Stash存储文件中的密钥集口令受到保护.密钥集文件口令在Stash存储文件中被改变,因此它不能被潜在的入侵者识别,但没有加密此密钥集文件口令.不应该允许未授权的个人访问Stash存储或密钥集文件.在正常的操作过程中,只有服务器本身可以访问这些文件;不过,管理员在删除或替换这些文件时也可能需要具有权限.正如所有 Web 服务器资源一样,适当的文件权限和文件保护对系统的安全性是不可缺少的.
4. 创建验证字请求
单击"创建验证字请求"
|
域 |
输入 |
|
密钥组文件名 |
Keyfile.kyr存放的路径 |
|
记录验证字请求 |
选择其一: "是"(缺省),在"服务器验证字管理"应用程序中记录信息 "否",不记录信息 |
|
方法 |
选择"粘贴到CA 站点上的表单" |
|
输入服务器密钥集文件的口令. |
|
将验证字拷贝至剪贴板(包括"开始验证字"和"结束验证字"两行),然后单击"确定".
- 打开浏览器,在地址中输入:http://servername/cca50.nsf .
- 单击"申请服务器验证字".
- 输入姓名、电子邮件地址、电话号码和任何对验证字权威的备注.
- 将刚才存放到剪贴板中的内容粘贴至对话框,然后单击"提交验证字请求".
从 Domino 验证字权威申请
- 打开浏览器,在地址中输入:http://servername/cca50.nsf .
- 单击"在服务器中接受此授权".
- 将验证字拷贝至剪贴板(包括"开始验证字"和"结束验证字"两行).
5. 在 Notes 中打开数据库CERTSRV.NSF (此数据库是Domino 在服务器安装时自动创建的数据库.)
6. 单击"将密钥组安装信任根验证字".
7. 输入按如下格式输入, 假设将密钥集文件 KEYFILE.KYR 和中断 KEYFILE.STH) 文件拷贝到服务器的如下位置d:/lotus/domino/data 下,则输入 d:/lotus/domino/data KEYFILE.KYR.
8. 在验证字标签中输入 【CAKeyPair】 .
9. 在"验证字来源"域中选择"剪贴板".将剪贴板内容粘贴至下一个域.
10. 单击"向密钥集合并信任根验证字".
11. 输入密钥集文件的口令,然后单击"确定".
在NOTES工作台上打开cca50.nsf数据库
- 单击"服务器验证字请求".
- 打开要签名的请求.
- 输入有效期限.对于短期计划,通常为 90 天;而对正在进行的计划,则可以指定几年.如果不希望发送邮件给服务器管理员,告知管理员现在可以提取验证字,则取消选定"向请求者发送电子邮件通知";否则,Domino 将发送电子邮件给服务器管理员,其中包含一个表示提取验证字位置的 URL.
- 并记录提取标识符的号码 一般为 00000** 或s00000**主要取决于服务器安装的版本如果是domino5.05为前者,如果domino为5.03为后者.
- 批准请求,请执行以下操作:
- 单击"批准"
-
输入验证字权威密钥集文件口令,然后单击"确定"
从 Domino 服务器提取验证字 CA 证书
- 打开浏览器,在地址中输入:http://servername/cca50.nsf .
- 单击"提取服务器验证字".
- 输入"提取"标识符,并单击"提取已签名验证字".
将验证字拷贝到剪贴板(包括"开始验证字"和"结束验证字"两行).
- 在NOTES工作台打开数据库CERTSRV.NSF
- 输入密钥组文件的名字及存放路径
- 将剪贴板内容粘贴到"剪贴板"中
三、配置 SSL 端口
1. 打开"服务器"文档.
2. 单击"端口""Internet 端口"附签.
3. 完成下列各域:
|
域 |
输入 |
|
SSL 密钥文件 |
服务器使用的服务器密钥集文件的文件名.例如:如果到密钥文件的完整路径为 d:lotusdominodatakeyfile.kyr,则可输入 keyfile.kyr. 将密钥组文件 keyfile.kyr 和中断 keyfile.sth 文件拷贝到服务器的 Domino 数据目录下. 注释 Domino 不对 IIOP 使用此域,该协议使用单独的密钥集文件.不能更改 IIOP 密钥集文件的文件名. |
|
SSL 协议版本 |
默认 |
|
接受 SSL 站点验证字 |
选择"是" |
|
接受过期的 SSL 验证字 |
选择"否" |
4. 单击对应于要配置的协议的附签,然后完成下列域:
|
域 |
输入 |
|
SSL 端口号 |
默认 |
|
SSL 端口状态 |
选择"启用" . |
|
客户验证字 |
选择"是" |
|
名称和口令 |
选择 "是" |
|
匿名 |
选择 "否" |
确定是要求用户仅使用 SSL 访问服务器,还是同时使用 SSL 和 TCP/IP 访问服务器要求到服务器的 SSL 连接在服务器上设置了 SSL 后,可以逐个协议地要求其使用 SSL 连接.
例如:可以强制客户机和服务器使用 SSL 连接到特定的服务器端口,并拒绝那些使用 TCP/IP 连接到该端口的客户机和服务器的访问.
在希望确保客户机使用安全连接访问服务器上的数据库时,应要求 SSL 连接.
如果不要求 SSL 连接,则客户机可以使用 SSL 或 TCP/IP 连接到服务器.
可以要求服务器上的所有数据库或单个数据库使用 SSL 连接.
对于服务器上的所有数据库
1. 在 Domino Administrator 中,单击"配置"附签,然后打开"服务器"文档.
2. 单击"端口""Internet 端口"附签.
3. 单击协议附签.
4. 在"TCP/IP 端口状态"域中选择"重定向到 SSL".
注释 NNTP、POP3 和 SMTP 不支持"重定向到 SSL"设置.
对于单个数据库
1. 启动 Notes 客户机.
2. 选择要强制客户机对其使用 SSL 连接的数据库.
3. 打开"数据库属性"框.
4. 在"基本"附签中选择"Web 访问:需要 SSL 连接"
以上配置完成以后重新启动服务器或者只启动http服务
重启 http 服务的命令
关闭 http 服务 tell http quit
启动 http 服务 load http
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞1作者其他文章
评论 0 · 赞 0
评论 0 · 赞 0
评论 0 · 赞 0
评论 0 · 赞 3
评论 0 · 赞 0
添加新评论0 条评论