Администрирование в вопросах и ответах

       

Подпись интернет сертификата и добавление сертификата в Domino Directory


Когда CA подписывает интернет сертификат, CA добавляет цифровую подпись в сертификат, если Вы используете Domino CA, добавляет публичный ключ в Domino Directory. Если Вы используете производителя CA третьих фирм, Вы должны закончить дополнительные шаги, чтобы добавить публичный ключ в Domino Directory.

Вы не должны заканчивать эти шаги, если Вы используете клиента Notes и сертификат CA в Person документе, в Domino Directory. Notes автоматически добавляет интернет сертификат, сохраненный в Person документе в Notes ID файл, когда пользователь идентифицирует с сервером.

Вы следуете этими шагами, чтобы подписывать и добавить интернет сертификат в Domino Directory. Эти шаги различны и зависят от того, кем выпущен сертификат, от имени Domino CA или производителя CA третьих фирм.

Domino CA.

Запрос интернет сертификата появляется в представлении Client Certificate Requests, базы данных Domino Certificate Authority. Когда CA подписывает сертификат, CA может автоматически посылать электронную почту клиенту. Это почтовое сообщение описывает, где можно забрать сертификат, и включает в себя Pickup ID, который клиент должен использовать, чтобы идентифицировать сертификат в течение процесса Pickup. Domino автоматически генерирует – Pickup ID.

Обратите внимание, что шаги ниже предназначены для клиента, который подписывает сертификат, выпущенный - Domino CA. Эти шаги нужно выполнять администраторам Domino CA.

*                    Удостоверитесь, что Вы как администратор, понимаете политику Вашей организации по выпуску и подписанию сертификатов. Вы должны подписывать сертификаты для клиентов только, если запросы на сертификат соответствуют политике безопасности Вашей организации.

*                    Удостоверитесь, что Вы запустили процесс администрирования на сервере. Если Вы подписываете сертификат для клиента интернета, удостоверитесь, что Вы создали Person документ для него.


*                    Из клиента Domino Administrator, выбирайте закладку Файлы, откройте приложение Domino Certificate Authority.

*                    Выбирайте представление Client Certificate Requests.



Рис. 112 Представление Domino СА приложения, для работы с запросами пользователей, на получение сертификата от Domino CA.

*                    Открывайте запрос, который Вы хотите подписать.

*                    Внимательно рассмотрите информацию пользователя и его имя. Удостоверитесь, что представленная информация, не противоречит политике безопасности Вашей организации.



Рис. 113 Пример документа запроса сертификата.

*                    Выбирайте опцию Register certificate in the Public Address Book, чтобы добавить публичный ключ клиента автоматически к Person документу.

*                    Выполняйте следующие шаги, в зависимости от того, хотите ли Вы одобрять или отвергнуть запрос.

*                    Запрос отвергается:

·         Введите причину для отклоненного запроса.

·         Если Вы не хотите послать электронную почту автору запроса, уберите пометку опции Send notification email to the requestor, иначе, пользователю посылается уведомление, что Вы отвергли запрос, который содержит причину отклонения запроса.

·         Нажимайте кнопку Deny.



*                    Чтобы одобрить запрос:

·         Введите период действия сертификата. Для краткосрочных проектов - 90 дней, для продолжительных проектов Вы можете вводить несколько лет.

·         Если Вы не хотите послать электронную почту автору запроса, уберите пометку опции Send notification email to the requestor, иначе, пользователю посылается уведомление, что Вы одобрили запрос. Письмо будет содержать URL, с указанием местоположения Вашего сертификата.

·         Нажимайте клавишу Approve, вводите пароль для CA Key Ring. При выполнении этого действия, в базе данных Administration Requests будет размещен соответствующий запрос. Когда процесс администрирования будет запущен, и он обработает запрос, сертификат будет добавлен к Person документу клиента в Domino Directory.

Клиент не сможет использовать сертификат, для подтверждения подлинности в ACL базах данных, пока процесс администрирования не заканчивает свою работу.

Производитель CA третьих фирм.

После того, как пользователи получают интернет сертификат от производителя CA, они должны зарегистрировать сертификат в Domino CA. Клиент Notes должен использовать персональный Web Navigator, чтобы выполнить эти шаги.

*                    Чтобы представить интернет сертификат в Domino CA, клиент заканчивает следующие шаги:

·         При использовании SSL соединения, используйте браузер, чтобы открыть Domino приложение Certificate Authority.

·         Выбирайте Register Client Certificate.

·         Введите Ваше имя, адрес электронной почты, телефонный номер и любые комментарии. Эта информация появится в запросе, введенном в Domino приложении Certificate Authority.



·         Нажмите кнопку Submit Certificate.

*                    Чтобы добавить сертификат в Person документ, Domino CA администратор заканчивает следующие шаги:

·         Из клиента Domino Administrator, выбирайте закладку Файлы, откройте приложение Domino Certificate Authority.

·         Выбирайте представление Client Registration Requests

·         Откройте документ запроса.

·         Если Вы не хотите послать электронную почту клиенту, указав, что Вы отвергли или принимать запрос и причину, по которой Вы сделали это, уберите пометку опции - Send notification email to the requestor.

·         Если Вы не хотите одобрять запрос, выбирайте – Reject, для отклонения запроса. Иначе, выбирайте Accept – ОК. При выполнении этого действия, в базе данных Administration Requests будет размещен соответствующий запрос на сервере Domino CA. Когда процесс администрирования будет запущен, и он обработает запрос, сертификат будет добавлен к Person документу клиента в Domino Directory.


Содержание раздела