Domino与第三方CA的结合.docVIP

Domino与第三方CA系统的结合 要设置Domino服务器与第三方CA系统结合，使用SSL，要先完成以下工作：已经生成CA系统的根证书，并将证书导出为BASE 64格式，扩展名为.cer；已经申请了个人证书，个人证书格式为BASE 64。在达到上述要求后，即可执行下列步骤： （1）设置“Server Certificate Admin”库（CERTSRV.NSF）, Domino在服务器安装时自动创建该数据库； （2）创建服务器密钥集文件用来保存服务器证书； （3）向验证机构申请SSL服务器证书； （4）作为信任根合并验证机构证书到服务器密钥集文件中； （5）验证机构批准服务器证书请求并发送可提取证书的通知； （6）合并已批准的服务器证书到密钥集文件； （7）配置SSL端口； （8）将个人证书导入通讯录中的个人文档。 一、设置“Server Certificate Admin”库 1、确保已设置服务器为Domino Web服务器。 2、编辑“Server Certificate Admin”库的存取控制列表，让管理员的存取级别为“管理者” 二、创建密钥集文件 向验证机构申请证书之前，必须创建密钥集文件用以保存证书。 1、在服务器上打开数据库“Server Certificate Admin”(certsrv.nsf)； 2、在数据库页面上单击“Create Key Ring”,在打开的表单上，完成下列各项： Key Ring File Name:缺省值为客户端的安装目录下，不用修改 Key Ring Password:密钥集的保护口令，最少6个字符(统一设置为password)； Confirm Password:口令确认 Key Size:选择512。此项有512和1024两个选项，但只能选择512。 Common Name:输入Web服务器的域名，如：oa.gy.gz.pbc Organization:（最好是用英文名，）输入单位的组织名称，如贵阳中支的组织名为GZGYV； Organizational Unit:（可选）证书拥有者所属的部门，如贵阳中心支行； City or Locality:（可选）证书拥有者所在的城市；如贵阳中支所在城市为：GuiYang State or Province:(最好是用英文名)证书拥有者所在省的名称，用三个或多个字符表示。如：GuiZhou Country:证书拥有者所在国家的名称，用两个字符表示。如：CN代表中国，US代表美国 3、单击“Create Key Ring” 4、在弹出的对话框中确认信息无误后，单击“确定”，就创建了该密钥集文件，存放在Notes客户端的数据目录下,文件名为keyfile.kyr和keyfile.sth。 三、申请SSL服务器证书 可以从第三方验证机构申请并获得服务器证书。服务器证书包含公用密钥、名称、到期日期和数字签名，保存在服务器的硬盘中。在向第三方验证机构申请证书之前，请确保该验证机构颁发的证书使用了PKCS格式，而不是其它格式。 1、确保已创建服务器密钥集文件。 2、打开certsrv.nsf，单击“Create Certificate Request”，在打开的表单上完成下列各项： Key Ring File Name:服务器密钥文件名，默认值为客户端数据目录下，如果客户端数据目录下有此文件，则不用修改。 Log Certificate Request:缺省为yes,即在日志中记录此申请；可不用修改。 Method：申请密钥集的方式。推荐选择第一项：Paste into form on CA’s site 3、单击“Create Certificate Request”，在弹出的口令对话框中输入原来为密钥集文件设置的口令，确定后在弹出的对话框下半部份的文本框中，选中所有内容拷贝（包括BEGIN NEW和 END NEW两行）。 4、使用浏览器访问验证机构的站点，采用PKCS的方式，用拷贝下来的内容申请一个服务器证书。 四、作为信任根合并验证机构证书到服务器密钥集文件 服务器证书必须包含作为信任根的验证机构证书。信任根允许有公共验证机构证书的服务器和客户机之间进行通信。在合并由验证机构颁发的服务器证书之前，应该将该机构证书作为信任根合并至密钥集文件。 1、确保已申请服务器证书和验证机构的信任根证书，并且这两个证书格式为BASE 64,扩展名为.cer，将这两个证书保存至本机上。 2、打开certsrv.nsf数据库，单击“Install Trusted Root Certificate into Key Ring”; 3、输入将要存储此证书的密钥集文件名称，如果缺省路径正确，则不需修改； 4、输入密钥集文件将用来标识此证书的名称。如果此域为空，则