如何配置Domino CA以支持SSL

一）配置验证字权威服务器
１创建验证字权威数据库
１）点击菜单＂文件＂－－＂数据库＂－－＂新建＂
２）服务器：选择验证字权威服务器

普通名称：服务器名称，例如www.cyber.com
组织：公司名称，例如Cyber
州＼省：至少三个字符，例如beijing
国家：两个字符的国家代码，例如CN

点击＂创建服务器密钥文件＂按钮，输入验证字权威密钥文件的口令，点击＂确定＂按钮．
出现一个窗口显示服务器密钥文件的信息，点击＂确定＂按钮

（二）配置验证字权威服务器文档
１打开公共通信录数据库，选择＂服务器＂视图下的＂服务器＂子视图，编辑CA服务器的文档
２点击标签＂端口＂－－＂Internet端口＂－－＂web＂

SSL密钥文件名称：输入CA服务器的密钥文件名称，相对于服务器的数据目录．如果文件放在别的目录下，输入绝对路径．缺省值是keyfile.kyr
SSL端口号：443
SSL端口状态：启用
验证选项：根据需要选择以下验证方式（客户端证书，名字和口令，匿名）

３重新启动服务器生效
４启动http服务器任务

（三）配置服务器验证字管理数据库，为web服务器向CA服务器申请证书
注意：该数据库是系统自动生成的．若您的web服务器和CA服务器是同一台Domino服务器，则web服务器使用CA服务器的证书，您不需配置该步．
１打开服务器上的服务器验证字管理数据库（certsrv.nsf），左边点击＂创建密钥文件和证书＂视图
２右边点击＂创建密钥文件＂，过程同上面的＂创建验证字权威密钥文件和证书＂，在此不再赘述．
３右边点击＂创建证书请求＂

确认密钥文件名称
选择请求方式，共有两种：从CA站点粘贴；通过e-mail发送给CA．下面以前者为例来描述．
点击按钮＂创建证书请求＂，输入该服务器的密钥文件的口令，点击＂确定＂按钮
在随后出现的创建证书请求的窗口中，将下面段落中的所有字符拷贝到剪贴板上，点击＂确定＂按钮

４提交证书请求

启动浏览器，在URL输入http://caservername/certca.nsf，其中caservername是您的CA服务器的名称．
左边点击＂请求服务器证书＂，右边输入联系人信息，将第３步中剪贴板上的信息粘贴到下面的域中，点击＂提交证书请求＂按钮

５提取验证字权威作为信任的根证书

启动浏览器，在URL输入http://caservername/certca.nsf，其中caservername是您的CA服务器的名称．
左边点击＂在您的服务器中接受该权威＂，在屏幕右边将最下面的段落拷贝到剪贴板上

６在服务器密钥文件中安装验证字权威证书作为信任的根证书
１）打开服务器上的服务器验证字管理数据库（certsrv.nsf），左边点击＂创建密钥文件和证书＂视图
２）右边点击＂在密钥文件中安装信任的根证书＂

确认密钥文件名称
证书标识：输入验证字权威名称，例如Cyber CA
证书来源：选择＂剪贴板＂
将第５步中的剪贴板上的信息粘贴到下面的域中，点击按钮＂将信任的根证书合并入服务器密钥文件＂
输入验证字权威口令，点击＂确定＂按钮
查看合并信息，点击＂确定＂按钮
点击＂确定＂按钮

７验证字权威的管理员同意证书请求
１）打开验证字权威数据库，左边点击＂服务器证书请求＂视图
２）右边屏幕会出现web服务器提交的证书请求文档，打开该文档

修改使用期限，记住提取ID，点击＂同意＂按钮
输入验证字权威的口令，点击＂确定＂按钮
输入该站点的主机名，点击＂确定＂按钮

８提取服务器证书

启动浏览器，在URL输入http://caservername/certca.nsf，其中caservername是您的CA服务器的名称．
左边点击＂提取服务器证书＂，右边输入刚才记下的提取ID，点击＂提取签名的证书＂按钮
将下面段落中的所有字符拷贝到剪贴板上

９在服务器密钥文件中安装签名的证书
１）打开服务器上的服务器验证字管理数据库（certsrv.nsf），左边点击＂创建密钥文件和证书＂视图
２）右边点击＂在密钥文件中安装证书＂

确认密钥文件名称
证书来源：选择＂剪贴板＂
将第８步中的剪贴板上的信息粘贴到下面的域中，点击按钮＂将证书合并入服务器密钥文件＂
输入验证字权威口令，点击＂确定＂按钮
查看合并信息，点击＂确定＂按钮
点击＂确定＂按钮

１０配置web服务器文档
１）打开公共通信录数据库，选择＂服务器＂视图下的＂服务器＂子视图，编辑web服务器的文档
２）点击标签＂端口＂－－＂Internet端口＂－－＂web＂

SSL密钥文件名称：输入web服务器的密钥文件名称，相对于服务器的数据目录．如果文件放在别的目录下，输入绝对路径．缺省值是keyfile.kyr
SSL端口号：443
SSL端口状态：启用
验证选项：根据需要选择以下验证方式（客户端证书，名字和口令，匿名）

３）重新启动服务器生效
４）启动http服务器任务

（四）配置浏览器，为用户向CA服务器申请证书
１浏览器信任该验证字权威

启动浏览器，在URL输入http://caservername/certca.nsf，其中caservername是您的CA服务器的名称．
左边点击＂在您的浏览器中接受该权威＂，右边的窗口中点击＂在您的浏览器中接受该权威＂
连续点击五次＂下一步＂按钮，输入验证字权威名称，例如Cyber CA，点击＂完成＂按钮

２浏览器提交证书请求

启动浏览器，在URL输入http://caservername/certca.nsf，其中caservername是您的CA服务器的名称．
左边点击＂请求客户端证书＂，右边的窗口中输入证书信息，联系人信息，加密长度选择512，点击＂提交证书请求＂按钮
在生成私有密钥的窗口中，点击＂确定＂按钮
设置communicator口令，点击＂确定＂按钮

３验证字权威的管理员同意证书请求
１）打开验证字权威数据库，左边点击＂客户端证书请求＂视图
２）右边屏幕会出现客户端提交的证书请求文档，打开该文档

选择在公共通讯录中注册证书
用户名称：从通讯录中选择使用该证书的用户
修改使用期限，记住提取ID，点击＂同意＂按钮
输入验证字权威的口令，点击＂确定＂按钮

４提取客户端证书

启动浏览器，在URL输入http://caservername/certca.nsf，其中caservername是您的CA服务器的名称．
左边点击＂提取客户端证书＂，右边输入刚才记下的提取ID，点击＂提取签名的证书＂按钮
点击＂接受证书＂按钮

５（可选）如果您使用的是第三方的CA，还要在左边点击＂注册客户端证书＂．

这样配置完成后，您就可以在URL中以https://的方式访问web服务器．