簡介: 本文描述了如何在 Lotus Domino 中配置使用第三方 CA 提供的數位憑證以進行 Domino Web 頁面的 SSL 登入,以及在收發 Internet 郵件時如何使用第三方 CA 數位憑證進行簽名和加密,並以 Windows CA 為例,全程描述了認證申請、註冊、使用的過程。
本文的標籤: 安全, 配置
標記本文!發布日期: 2011 年 4 月 14 日
層級: 中級
訪問情況 1482 次瀏覽
建議: 0 (添加評論)
前言
什麼是 CA
CA 為 Certificate Authority 的縮寫,也就是認證權威機構。它提供數位憑證的發放、管理、取消等服務。認證權威機構將自己的公開金鑰放在根憑證裡發布到互連網上,以證明該機構發放的伺服器和個人認證。在互連網上通過數位憑證來進行身份認證、數位簽章、數字加密等操作,從而保證資訊安全。
Domino 的安全機制
在 Lotus Domino/Notes 裡也需要有認證機制來保證伺服器和個人使用者的身份和資訊安全。不同於互連網上的 CA,Domino 的每個伺服器和個人都擁有唯一的 ID 檔案,而所有這些 ID 檔案都是由一個根—— certifier ID 發放的。這個根就是 Notes 層次名的最後一級。Domino 裡使用 ID 檔案來完成郵件加解密、身分識別驗證。
為什麼使用第三方 CA
為了使 Domino 使用者在 Notes 世界以外的互連網上保證身分識別驗證的正確和資訊傳播的安全,需要使用 CA 來發放符合互連網標準的數位憑證。Lotus Domino 本身也帶有 CA 服務,因而可以將 Domino 伺服器配置成一個 CA,並使用 Domino CA 發放的數位憑證或進行 SSL,或進行 internet 郵件的簽名、加密等操作。
前文已經提到,互連網上存在獨立的認證權威機構。常見的受信任的 CA 根憑證已經被載入到常見瀏覽器和伺服器中。因而可以配置 Domino 利用第三方 CA。本文以 Windows Server 2003 上的 Certificate Authority 為例,是為了讓讀者在使用 Domino 的同時,瞭解在第三方 CA 申請伺服器憑證及個人認證的全過程。文中描述了如何在 Domino 中配置使用第三方 CA 提供的數位憑證進行 SSL 登入 Domino Web 頁面,並在收發 Internet 郵件時使用第三方 CA 數位憑證進行簽名、加密的方法。
回頁首
第一部分:為 Domino 申請伺服器憑證
1 . Domino 建立密鑰環 (key ring) 檔案
Key Ring 檔案將儲存有金鑰組,即公開金鑰和私密金鑰。在 Domino Administrator Client,開啟資料庫 Server Certificate Admin(certsrr.nsf),在右側選擇“1. Create Key Ring”。 1 所示。
圖 1. 建立密鑰環
在表單中輸入必要的資訊後點擊按鈕 “Create Key Ring”。注意 Common Name 作為伺服器的主機名稱要正確輸入,後面的步驟要用到。key ring 建好後會儲存在 Notes 資料目錄,預設名為 keyfile.kyr。
2 . Domino 提交伺服器憑證申請
Domino 需要自己產生伺服器憑證申請,提供給第三方 CA。仍然是在資料庫 Server Certificate Admin,選擇“2.Create Certificate Request”。在隨後出現的表單中點擊按鈕,Certificate Request 將會產生,內容是 BEGIN 和 END 行之間的部分。 2 所示。
圖 2. 建立認證申請
拷貝申請內容,包括 BEGIN 到 END 行到剪貼簿。後面要將之粘貼到第三方 CA Web 頁面表單中。
3 .向 Windows CA 申請伺服器憑證
開啟 Windows CA Web 網站首頁 http://<WindowsCAHost>/certsrv 。單擊 Request a certificate 至下一頁面,單擊 advanced certificate request 至下一頁面,單擊 Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file,出現提交認證請求的表單。將剛才上一步中的申請內容粘貼在“Saved Request”中,點擊 Submit 提交請求。 3。
圖 3. 提交認證申請
4 .在 Windows CA 中審批通過認證申請
登入 Windows 伺服器,從 Adminitrative tools 中開啟 Certification Authority(CA)。在 CA 中開啟左邊的節點“Pending Requests”,在右側視圖選擇剛才提交的請求。右鍵,選擇 All Tasks > Issue。
由 CA 頒發的認證,實際上是被 CA 的公開金鑰簽過名的,因而可以證明認證的權威性。
5 .下載伺服器憑證和 Windows CA 根憑證
回到 Windows CA Web 網站首頁,選擇 View the status of a pending certificate request 至下一頁面,選擇上一步提交的認證請求,在下一頁面選擇 Base 64 encoded,下載認證。
回到 Windows CA Web 網站首頁,選擇 Download a CA certificate。在表單中選擇 Encoding method 為 Base 64,點擊 Download CA certificate 下載 CA 根憑證儲存到本地,後面的步驟將會用到。
6 .安裝根信任認證至 Domino key ring
在安裝伺服器憑證至 key ring 之前,必須要先安裝 CA 的根信任認證。有些 CA 可能還有中級認證,因此在安裝完根憑證後,再需要安裝中級認證,最後才可以安裝伺服器憑證。這樣才能證明伺服器憑證的來源和權威。
預設情況下,Domino 已經載入了常見的 CA 根憑證比如 Verisign 和 Entrust。在資料庫 Server Certificate Admin 裡可以查看已經安裝了的根信任,只需選擇左側 View & Edit Key Rings, 4 所示。
圖 4. 瀏覽密鑰環列表
本文使用測試用 Windows CA,因而該 CA 根信任並不包含在 Domino 中,需要按照下列步驟安裝。
在資料庫 Server Certificate Admin 中,左側選擇 Create Key Rings & Certificates,右側視圖裡選擇“3.Install Trusted Root Certificate into Key Ring”,在隨後出現的表單裡,選擇 Key Ring 檔案名稱和 CA 根憑證檔案所在路徑和檔案名稱,即上一步從 Windows CA Web 網站下載的根憑證檔案。 5 所示。
圖 5. 安裝受信任的根憑證
安裝完畢後,如需查看請依據圖 4 所示,並選擇正確的 key ring 檔案查看。
7 .安裝伺服器憑證至 key ring
接下來將要安裝步驟 5 中下載到本地的伺服器憑證檔案到 Domino key ring 中。在資料庫 Server Certificate Admin 中選擇“4.Install Certificate Into Key Ring”,在隨後出現的表單中選擇正確的檔案名稱。 6 所示。
圖 6. 給密鑰環安裝認證
回頁首
第二部分:配置 Domino SSL
將儲存在 Notes 用戶端本機資料目錄的 key ring 檔案(預設為 keyfile.kyr 和 keyfile.sth 檔案)拷貝到 Domino 伺服器端的資料目錄下。並更新 Server document 或 Internet Site document 啟用 SSL。 7。
圖 7. 伺服器文檔
注意填寫正確的 key ring 檔案名稱,不需要絕對路徑。在 Web 頁裡啟用 SSL 連接埠。可選配置:在 Authentication options 中的 Client certificate 設為 Yes,Name & password 設為 No,使用者可以在安裝了個人認證的瀏覽器上不輸入密碼,只用個人認證就可以登入 Domino Web 網站。
接著重啟 Domino HTTP 服務。在 Domino 伺服器控制台敲入命令“tell http restart”。
回頁首
第三部分:為使用者申請個人數位憑證
1. 安裝 CA 根憑證
請先在申請個人認證的瀏覽器上安裝該 CA 的根憑證。可以開啟根憑證檔案,點擊按鈕“安裝認證”即可。或者訪問 Windows CA Web 網站首頁 http://<WindowsCAHost>/certsrv,選擇 Download a CA certificate,下一頁面單擊 install this CA certificate chain。
2 .申請個人數位憑證
回到 CA Web 網站首頁,選擇 Request a certificate 至下一頁面,選擇 Web Browser Certificate。在表單中填入必要的資訊。 8 所示。
圖 8. 應用個人數位憑證
提交請求後,到 Windows CA 中審批通過請求,步驟如第一部分第 4 步。
下面安裝個人認證到之前申請時所用的瀏覽器上。在 CA Web 首頁選擇 View the status of a pending certificate request,按照網頁要求安裝即可。
如果瀏覽器是 Microsoft IE,在 Internet 選項中可查看認證。選擇“內容”頁,點擊“認證”,在個人頁中將看到個人認證已經成功安裝到瀏覽器。 9 所示。
圖 9. 互連網選項
3 .註冊個人認證到 Domino 目錄中
在 Domino 中以 Domino Certificate Publication Requests 為模板建立新的資料庫。開啟之前提交、安裝個人認證的瀏覽器,訪問該資料庫:https://<DominoHost>/domcertpubreq.nsf。其中 domcertpubreq.nsf 為剛剛建立的 Domino Certificate Publication Requests 資料庫檔案名。
注意地址中使用 https。
瀏覽器自動會提示選擇使用者個人認證,單擊需要註冊的個人認證,確定即可。
在接下來出現的表單中為該瀏覽器輸入使用者名稱等資訊,點擊按鈕 Submit Certificate 提交。 10 所示。
圖 10. 註冊瀏覽器認證
接下來在 Notes 中開啟 Certificate Publication Requests 資料庫,找到 Submitted Certificates > Waiting for Approval。雙擊剛剛提交的請求,在表單中選擇合適的 Domino 地址本裡的使用者,點擊按鈕“Accept”, 11。
圖 11. 接受申請
Domino admin process 會自動將認證加到上面選擇的 Domino 地址本裡的使用者 Person 文檔中。稍等一會兒,該使用者會收到郵件通知。此時查看 Person 文檔,會看到 Internet Certificate 已經被加進來了。 12。
圖 12. 認證被加到使用者 Person 文檔中
回頁首
第四部分:Domino 使用第三方 CA 數位憑證收發 SMIME 郵件。
上一部分申請 Windows CA 個人數位憑證時,選擇了 Web Browser Certificate,因此這個認證只能做用戶端登入的身份認證。第二部分已經提到過,可以配置成只用認證登入 Domino Web 網站。
至於收發 SMIME 郵件,即用數位憑證簽名加密 internet 郵件,步驟和第三部分相似,只是認證申請的類型必須選擇 E-Mail Protection Certificate。有些 CA 也將身份認證和郵件加密功能放在同一個數位憑證裡,就會簡單得多。
以下為說明如何? Domino 使用者使用第三方 CA 數位憑證收發 SMIME 郵件,作者已為 2 個 Domino 地址本裡的使用者申請 E-Mail Protection Certificate,步驟請參考本文第三部分。
以 Microsoft Outlook Express 用戶端郵件軟體為例,在賬戶資訊裡選擇正確的個人認證即可發送 SMIME 郵件了。 13 所示。
圖 13. 選擇個人認證
用 Outlook 發送一封簽名郵件給另一個 Domino 使用者,該使用者從 Notes 裡開啟郵箱,可以看到狀態列上顯示簽名資訊“signed by zhangsan zhangsan@ibmtest.com on xxxx, according Si Li/IBM”,這說明郵件已經被寄件者的私密金鑰簽名。
收到簽名郵件的收件者同時收到了對方發來的公開金鑰,無論是 Notes 還是 Outlook 會將之自動儲存,因而收件者回複郵件或發新郵件給寄件者時,可以選擇用對方公開金鑰加密。從而實現收發 SMIME 郵件。
參考資料
學習
討論
關於作者
趙麗華,是 IBM 中國軟體開發實驗室的軟體工程師。從事 Lotus Domino 測試工作多年。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
