着重探析SSL验证的服务器端的配置方法.doc

SSL验证的服务器端的配置方法 安装条件 1、将服务器设置为 WEB 服务器,HTTP服务已启动 步骤： 首先创建CA验证的的数据库 使用“Domino 验证字权威”模板 (CCA50.NTF) 创建“Domino 验证字权威”的数据库 创建 CA 密钥组文件和验证字 在NOTES工作台上打开CCA50.NSF数据库.单击“创建验证字权威密钥组和验证字”(如果提示没有权限,请重新启动一次NOTES) 域 输入 密钥组文件名 缺省目录为本地,缺省文件名是CAKey.kyr. 密钥组口令 建议至少为 6个字符. 口令校验 重复口令,进行确认. 密钥长度 北美是1024位,国际范围选择512位 公共名称 例如ACME CA 组织 例如ACME 组织单元 （可选）验证字所有者所在的部门. 城市 （可选）验证字所有者居住的城市或城镇. 省 例如：ShangHai 请不要使用所写,如SH 国家 验证字所有者所在国家,用两个字符表示,例如： CN (中国) 注释:公共名称、组织、组织单元、城市、省和国家构成 CA 服务器的专有名称.请认真选择 CA 名称.注意做好CAKey.kyr的备份工作 创建服务器密钥组文件 打开数据库CERTSRV.NSF(此数据库是Domino 在服务器安装时自动创建的数据库),创建服务器密钥集文件用来保存服务器验证字. 域 输入 密钥组文件名 缺省目录为本地,缺省文件名是 keyfile.kyr 密钥组口令 建议至少为 6个字符. 确认口令 重复口令,进行确认. 密钥长度 北美是1024位,国际范围选择512位 公共名称 例如: 组织 例如:ACME 组织单元 （可选）验证字所有者所在的部门. 城市 （可选）验证字所有者居住的城市或城镇. 省 例如：ShangHai(请不要使用缩写,如SH) 国家 验证字所有者所在国家,用两个字符表示,例如： CN (中国) 注意:必须保证中断文件中的密钥集口令受到保护.密钥集文件口令在中断文件中被改变,因此它不能被偶然的观察者识别,但没有加密此密钥集文件口令.不应该允许未授权的个人访问中断文件或密钥集文件.在正常的操作过程中,只有服务器本身可以访问这些文件；不过,管理员在删除或替换这些文件时也可能需要具有权限.正如所有 Web 服务器资源一样,适当的文件权限和文件保护对系统的安全性是不可缺少的. 创建验证字请求 单击“创建验证字请求” 域 输入 密钥组文件名 Keyfile.kyr存放的路径 记录验证字请求 选择其一： “是”（缺省）,在“服务器验证字管理”应用程序中记录信息 “否”,不记录信息 方法 选择“粘贴到CA 站点上的表单” 输入服务器密钥集文件的口令. 将验证字拷贝至剪贴板（包括“开始验证字”和“结束验证字”两行）,然后单击“确定”. 打开浏览器,在地址中输入:http://servername/cca50.nsf . 单击“申请服务器验证字”. 输入姓名、电子邮件地址、电话号码和任何对验证字权威的备注. 将刚才存放到剪贴板中的内容粘贴至对话框,然后单击“提交验证字请求”. 从 Domino 验证字权威申请 打开浏览器,在地址中输入:http://servername/cca50.nsf . 单击“在服务器中接受此授权”. 将验证字拷贝至剪贴板（包括“开始验证字”和“结束验证字”两行）. 5. 在 notes程序中打开打开数据库CERTSRV.NSF （此数据库是Domino 在服务器安装时自动创建的数据库.） 6. 单击“将密钥组安装信任根验证字”. 7. 输入按如下格式输入, 假设将密钥集文件 KEYFILE.KYR 和中断 KEYFILE.STH) 文件拷贝到服务器的如下位置d:/lotus/domino/data 下,则输入 d:/lotus/domino/data KEYFILE.KYR. 8. 在验证字标签中输入 【CAKeyPair】 . 9. 在“验证字来源”域中选择“剪贴板”.将剪贴板内容粘贴至下一个域. 10. 单击“向密钥集合并信任根验证字”. 输入密钥集文件的口令,然后单击“确定”. 在NOTES工作台上打开cca50.nsf数据库 单击“服务器验证字请求”. 打开要签名的请求. 输入有效期限.对于短期计划,通常为 90 天；而对正在进行的计划,则可以指定几年.如果不希望发送邮件给服务器管理员,告知管理员现在可以提取验证字,则取消选定“向请求者发送电子邮件通知”；否则,Domino 将发送电子邮件给服务器管理员,其中包含一个表示提取验证字位置的 URL. 并记录提取标识符的号码 一般为 00000** 或s