配置Domino Web服务器启用HTTPS.docx
《配置Domino Web服务器启用HTTPS.docx》由会员分享,可在线阅读,更多相关《配置Domino Web服务器启用HTTPS.docx(24页珍藏版)》请在冰豆网上搜索。
配置DominoWeb服务器启用HTTPS
配置DominoWeb服务器启用HTTPS
答案
SSL验证的服务器端的配置方法
一、安装条件
将服务器设置为WEB服务器,HTTP服务已启动
二、步骤:
1.首先创建CA验证的的数据库
使用"Domino验证字权威"模板(CCA50.NTF)创建"Domino验证字权威"的数据库
2.创建CA密钥组文件和验证字
在NOTES工作台上打开CCA50.NSF数据库.单击"创建验证字权威密钥组和验证字"(如果提示没有权限,请重新启动一次NOTES)
域
输入
密钥组文件名
缺省目录为本地,缺省文件名是CAKey.kyr.
密钥组口令
建议至少为6个字符.
口令校验
重复口令,进行确认.
密钥长度
北美是1024位,国际范围选择512位
公共名称
例如ACMECA
组织
例如ACME
组织单元
(可选)验证字所有者所在的部门.
城市
(可选)验证字所有者居住的城市或城镇.
省
例如:
ShangHai请不要使用所写,如SH
国家
验证字所有者所在国家,用两个字符表示,例如:
CN(中国)
注释:
公共名称、组织、组织单元、城市、省和国家构成CA服务器的专有名称.请认真选择CA名称.注意做好CAKey.kyr的备份工作
3. 创建服务器密钥组文件
打开数据库CERTSRV.NSF(此数据库是Domino在服务器安装时自动创建的数据库),创建服务器密钥集文件用来保存服务器验证字.
域
输入
密钥组文件名
缺省目录为本地,缺省文件名是 keyfile.kyr
密钥组口令
建议至少为6个字符.
确认口令
重复口令,进行确认.
密钥长度
北美是1024位,国际范围选择512位
公共名称
例如:
组织
例如:
ACME
组织单元
(可选)验证字所有者所在的部门.
城市
(可选)验证字所有者居住的城市或城镇.
省
例如:
ShangHai(请不要使用缩写,如SH)
国家
验证字所有者所在国家,用两个字符表示,例如:
CN(中国)
注意:
必须保证Stash存储文件中的密钥集口令受到保护.密钥集文件口令在Stash存储文件中被改变,因此它不能被潜在的入侵者识别,但没有加密此密钥集文件口令.不应该允许未授权的个人访问Stash存储或密钥集文件.在正常的操作过程中,只有服务器本身可以访问这些文件;不过,管理员在删除或替换这些文件时也可能需要具有权限.正如所有Web服务器资源一样,适当的文件权限和文件保护对系统的安全性是不可缺少的.
4.创建验证字请求
单击"创建验证字请求"
域
输入
密钥组文件名
Keyfile.kyr存放的路径
记录验证字请求
选择其一:
"是"(缺省),在"服务器验证字管理"应用程序中记录信息
"否",不记录信息
方法
选择"粘贴到CA站点上的表单"
输入服务器密钥集文件的口令.
将验证字拷贝至剪贴板(包括"开始验证字"和"结束验证字"两行),然后单击"确定".
∙打开浏览器,在地址中输入:
http:
//servername/cca50.nsf .
∙单击"申请服务器验证字".
∙输入姓名、电子邮件地址、电话号码和任何对验证字权威的备注.
∙将刚才存放到剪贴板中的内容粘贴至对话框,然后单击"提交验证字请求".
从Domino验证字权威申请
∙打开浏览器,在地址中输入:
http:
//servername/cca50.nsf .
∙单击"在服务器中接受此授权".
∙将验证字拷贝至剪贴板(包括"开始验证字"和"结束验证字"两行).
5. 在Notes中打开数据库CERTSRV.NSF(此数据库是Domino在服务器安装时自动创建的数据库.)
6. 单击"将密钥组安装信任根验证字".
7. 输入按如下格式输入,假设将密钥集文件KEYFILE.KYR和中断KEYFILE.STH)文件拷贝到服务器的如下位置d:
/lotus/domino/data下,则输入d:
/lotus/domino/dataKEYFILE.KYR.
8. 在验证字标签中输入【CAKeyPair】.
9. 在"验证字来源"域中选择"剪贴板".将剪贴板内容粘贴至下一个域.
10. 单击"向密钥集合并信任根验证字".
11. 输入密钥集文件的口令,然后单击"确定".
在NOTES工作台上打开cca50.nsf数据库
∙单击"服务器验证字请求".
∙打开要签名的请求.
∙输入有效期限.对于短期计划,通常为90天;而对正在进行的计划,则可以指定几年.如果不希望发送邮件给服务器管理员,告知管理员现在可以提取验证字,则取消选定"向请求者发送电子邮件通知";否则,Domino将发送电子邮件给服务器管理员,其中包含一个表示提取验证字位置的URL.
∙并记录提取标识符的号码一般为00000**或s00000**主要取决于服务器安装的版本如果是domino5.05为前者,如果domino为5.03为后者.
∙批准请求,请执行以下操作:
∙单击"批准"
∙输入验证字权威密钥集文件口令,然后单击"确定"
从Domino服务器提取验证字CA证书
∙打开浏览器,在地址中输入:
http:
//servername/cca50.nsf .
∙单击"提取服务器验证字".
∙输入"提取"标识符,并单击"提取已签名验证字".
将验证字拷贝到剪贴板(包括"开始验证字"和"结束验证字"两行).
将验证字拷贝到剪贴板(包括"开始验证字"和"结束验证字"两行).
∙在NOTES工作台打开数据库CERTSRV.NSF
∙输入密钥组文件的名字及存放路径
∙将剪贴板内容粘贴到"剪贴板"中
三、配置SSL端口
1. 打开"服务器"文档.
2. 单击"端口""Internet端口"附签.
3. 完成下列各域:
域
输入
SSL密钥文件
服务器使用的服务器密钥集文件的文件名.例如:
如果到密钥文件的完整路径为d:
\lotus\domino\data\keyfile.kyr,则可输入keyfile.kyr.将密钥组文件keyfile.kyr和中断keyfile.sth文件拷贝到服务器的Domino数据目录下.
注释Domino不对IIOP使用此域,该协议使用单独的密钥集文件.不能更改IIOP密钥集文件的文件名.
SSL协议版本
默认
接受SSL站点验证字
选择"是"
接受过期的SSL验证字
选择"否"
4. 单击对应于要配置的协议的附签,然后完成下列域:
域
输入
SSL端口号
默认
SSL端口状态
选择"启用"
.
客户验证字
选择"是"
名称和口令
选择"是"
匿名
选择"否"
确定是要求用户仅使用SSL访问服务器,还是同时使用SSL和TCP/IP访问服务器要求到服务器的SSL连接在服务器上设置了SSL后,可以逐个协议地要求其使用SSL连接.
例如:
可以强制客户机和服务器使用SSL连接到特定的服务器端口,并拒绝那些使用TCP/IP连接到该端口的客户机和服务器的访问.
在希望确保客户机使用安全连接访问服务器上的数据库时,应要求SSL连接.
如果不要求SSL连接,则客户机可以使用SSL或TCP/IP连接到服务器.
可以要求服务器上的所有数据库或单个数据库使用SSL连接.
对于服务器上的所有数据库
1. 在DominoAdministrator中,单击"配置"附签,然后打开"服务器"文档.
2. 单击"端口""Internet端口"附签.
3. 单击协议附签.
4. 在"TCP/IP端口状态"域中选择"重定向到SSL".
注释NNTP、POP3和SMTP不支持"重定向到SSL"设置.
对于单个数据库
1. 启动Notes客户机.
2. 选择要强制客户机对其使用SSL连接的数据库.
3. 打开"数据库属性"框.
4. 在"基本"附签中选择"Web访:
需要SSL连接"
以上配置完成以后重新启动服务器或者只启动http服务
重启http服务的命令
关闭http服务tellhttpquit
启动http服务loadhttp