注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

mylotustips的博客

IBM Lotus协作产品家族经验分享

 
 
 

日志

 
 
关于我

欢迎大家使用SR向IBM800提交问题http://www.ibm.com/support/servicerequest 可以随时查看问题状态,上传文件

网易考拉推荐

如何通过Domino CA配置SSL  

2012-05-30 14:21:23|  分类: Domino服务器 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

R5/6管理员需要通过CA50验证字权威数据库提交证书请求,在R8以上版本的服务器,可以通过CA Process完成,步骤如下:

  1. 创建Internet验证字:

 

  1. 创建前请确认:
    1. Domino目录(names.nsf)和管理请求数据库(admin4.nsf)的管理服务器为需要配置的服务器,可以在数据库的ACL的高级页签中确认这一点。
    2. 服务器文档的基本页签中的,完全限定Internet主机名是否设置正确,例如:domino801winen01.lotustest.com
    3. 确认CA process已经在Server上运行。如果没有,使用"load ca",将它启动。
  2. 创建Internet验证字:
    在管理客户端选择"配置"页签,展开"工具"面板,展开"注册",选择"Internet Certifier"。

 

在"Register Internet Certifier"对话框中,选择"I want to register a new Internet Certifier that uses the CA Process:"

 点击"OK"。在"Register New Internet Certifier"对话框中,点击"Create Certifier Name:":

 在接下来的对话框中,在Common Name域中填写域值,例如:"lotustest"然后点击OK。

 再次回到"Creating certifier"对话框,在标题栏中会显示验证字的名字,如:"Creating Certifier (CN=lotustest)"。
将"Encrypt certifier ID"域改成 Server ID,并确认管理员被赋予RA和CA的权限:

 点击OK。会出现确认验证字已成功创建的对话框。

 打开管理请求数据库(admin4.nsf)然后展开"All Requests by Server"视图,在"Modify CA Configuration in Domino Directory"下有一个为验证字新创建的文档,打开时,可以看见以下信息:

 关闭admin4.nsf,然后在服务器console上运行以下三个命令:

Tell adminp process all

Tell ca refresh

Tell ca status

 建立Certification Requests数据库:

  1. 从管理客户端,选择File->Database->New。
  2. 指定新的数据库的名称。
  3. 选择"Show advanced templates",并选择"Certificate Requests(8)"模板。

 点击OK。关闭"About this database"文档。 在接下来出现的Database Configuration文档中,按以下配置:

保存并关闭文档。

创建Key Ring和合并Internet证书:

创建Key Ring文件:

  1. 打开Domino Administrator客户端,选择File页签,找到Certification Requests数据库,例如:certreqIntlotustest.nsf,打开数据库。
  2. 展开 Domino Key Ring Management,然后选择Create Key Ring:

 在"Create Key Ring"文档中,按以下配置填写:

 点击"Create Key Ring"。 一旦key ring被创建了,出现以下对话框。点击OK。

注意:缺省情况下,key file会被自动创建在管理客户端,而不在服务器上。这些文件会在后面的过程中被拷贝到服务器上去。

 在点击OK之后,会提示将Internet证书合并到key ring中去,确认这些信息正确之后点击OK。

 接下来会提示证书已经被合并到Key ring中去了,点击OK。

 点击OK。出现:

手动处理验证字请求:

打开证书请求数据库(CertreqInlotustest.nsf),展开"Pending/Submitted Requsts"视图,会看见一个Pending的服务器请求文档,如果看不见的话,请使用F9刷新:

 选择文档,并点击"Submit Selected Requests":

 点击OK,出现:

 检查服务器请求文档,它的状态会变成"submitted"。

打开管理请求数据库(admin4.nsf)。确认CA process已经在Server上运行。如果没有,使用"load ca",将它启动。
展开Certification Authority Requests视图并选择Certificate Requests:

 编辑该文档,并点击"Approve Request":

这个文档的状态会从"New"变成"Approved"。
在服务器console上会出现以下请求被处理的信息:

再打开Certificate Request(CertreqIntlotustest.nsf)数据库,选择"Pending/Submitted"视图,选择之前处理的文档,然后点击"Pull Selected Requests":

 一个交叉验证请求会出现。点击"Cross Certify":

 一旦交叉验证字处理完成,会出现以下窗口:

 为了在本地通讯录中看到证书,可以打开本地通讯录,展开高级视图,点击Actions菜单->Retrieve Certificates from Home Server:

然后可以看见:

 

打开Certificate Requests数据库,在Issued/Rejected视图中选择服务器请求文档,打开并拷贝其中的"Request ID"到剪贴版:

 在同一个数据库中,选择Domino Key Ring Management-> PickUp Key Ring Certificate。
填入key ring文件名和密码,粘贴 Pickup ID,点击Pickup Certificate:

核实在"Merge Signed Certificate Confirmation"对话框中的信息的正确性,然后点击OK,出现以下提示信息,表示证书已经成功的被合并。

 将Keyfile.kyr和 keyfile.sth文件从客户端的数据目录拷贝到服务器端的数据库下。

 

配置HTTP Server for SSL:

启用SSL:

  1. 在管理客户端,选择配置页签,展开服务器,选择当前服务器文档。
  2. 编辑该文档,在端口页签->Internet端口,在缺省情况下,keyfile.kyr已经填写好,在Web页签下按以下配置设置:

 在服务器Console上执行以下命令,重启Http Server:tell http restart。

 

验证SSL:

  1. 在服务器上创建一个数据库,也可以拿用户的邮箱数据库来测试,确认数据库的ACL中Anonymous为No Access权限,测试用户要给予至少是作者的权限。
  2. 在浏览器中用以下URL打开数据库,
    https://FullyQualifiedInternetHostName/mail/user.nsf
    接下来会出现以下一系列接受Internet证书的提示(具体和浏览器的配置有关):

点击OK

点击Yes

点击View Certificate

点击Install Certificate

在出现"Welcome to the certificate Import Wizard"中,点击Next。

选择"Automatically select the certificate store based on the type of certificate":

在"Completing the certificate Import Wizard"对话框中,点击Finish。

点击OK,出现"The import was successfully"。

在"Security Alert"中点击 Yes:

出现用户名密码登录窗口:

输入正确值之后,出现:

点击Yes,后即能成功显示Web Page。

  评论这张
 
阅读(1009)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017