扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共19页)
说明:
本文档针对如何在Domino环境中为邮件服务器配置SSL,以使用户通过SSL来访问邮件服务器。为了实现该目的,需要完成如下两项工作:
1. 为Domino环境配置CA
2. 为邮件服务器设置SSL
系统环境:
两台Domino 7服务器,一台是primary服务器,同时作为本实验环境中的CA服务器;另外一台是邮件服务器:
Primary server: Hub/Acme Domino7 on Win2k
Mail server: Spoke1/Acme Domino7 on WinXP
步骤:
1. 为Domino环境配置CA (本实验中,该配置应该在Hub/Acme上完成)
(1) 将Domino环境中已经存在的验证者迁移到CA进程
a. 在admin client Configuration tab -> Tools -> Certification下点击“Migrate Certifier”进行迁移。
b. 迁移时注意以下几点:
(i) 修改ICL数据库名便于对其管理
(ii)选择需要口令激活验证者
c. 可以运行tell adminp p a来保证管理进程立即执行
(2) 创建新的Internet验证者
a. 在admin client Configuration tab -> Tools -> Registration下点击“Internet Certifier”。
b. 注意以下几点:
(i) 设置正确的“Create Certifier Name”,这个名字将是你颁发server证书的验证者名称,建议设置州名和国家名。
(ii)修改ICL数据库名便于对其管理
(iii)选择需要口令激活验证者
c. 可以运行tell adminp p a来保证管理进程立即执行
(3) 添加验证者到server的CA进程
a. 在该server的Notes.ini参数中增加CA任务。重启domino服务器。
b. 运行“tell ca stat”来查看验证者状态
c. 运行“tell ca activate * password”来所有验证者。
(4) 为刚才创建的Internet验证者设置Certificate Requests数据库。
a. 根据模板CERTREQ.NTF创建Certificate Requests数据库(CERTREQ.NSF)。
b. 配置时注意设置“Supported Certificate Types”为“Server Certificates Only”。
(5) 为Domino设置SSL.
a. 打开数据库CERTREQ.NSF,点击Domino Key Ring Management -> Create Key Ring 为该server设置Key Ring File
b. 设置时注意如下几点:
(i) 不要修改默认的Key Ring File Name
(ii) 设置Common Name为Hub.Acme.com
(iii) 正确设置州名和国家名,要与上面的该设置一致。
c. 在Pending/Submitted Requests视图中,选中刚才的请求,并点击“Submit Selected Requests”。
d. 打开admin4.nsf的Certification Authority Requests/Certificate Requests视图,编辑刚才提交的请求,确认无误,approve该请求。在视图中,该请求将变成“Issued”。
e. 回到CERTREQ.NSF,打开Pending/Submitted Certificates视图,选中该请求,点击“Pull Selected Requests”
f. 在Issued/Rejected Certificates视图中,打开该请求,并拷贝Request ID。
g. 点击"Pickup Key Ring Certificate",输入Key Ring口令和Request ID。
h. keyfile.kyr和keyfile.sth将被创建到客户端data目录下,剪切这两个文件到server的data目录下。
(6) 在server document -> ports -> Internet Ports tab配置SSL,如下:
Accept SSL site certificates: Yes
TCP/IP port status: enabled
SSL port status: enabled
注意:你可以根据需要为不同的协议单独启用或禁用SSL。但是作为CA服务器,你需要为HTTP同时启用TCP和SSL两个端口。
(7) 重启domino server,在IE中使用https来访问服务器,并安装证书。如能正常访问该server,说明配置成功。
注意,如果每次使用https访问server都提示需要安装证书,请查看你的证书是否安装成功。在安装证书时,请确保验证者已被激活。(使用tell ca activate * password激活验证者)
*************************************************************************
2. 为邮件服务器设置SSL
(1) 在mail服务器上设置Server Certificate Admin数据库的存取权限,并且确认该server是一个web server。
(2) 在Mail Server的Certsrv.nsf数据库中创建该server的Key ring file。
(3) 向CA服务器请求SSL server证书。
a. 打开certsrv.nsf,点击"Create Certificate Request",设置如下:
Key Ring File Name:输入你的keyfile.kyr的正确路径和文件名
Method:Paste into form on CA's site
b. 拷贝证书请求。
c. 在IE中使用https访问CA服务器上Certificate Requests数据库(certreq.nsf)
d. 点击"Request Server Certificate.",完成各项设置,并粘贴证书请求。
(4) 迁移CA证书作为一个信任根到server的key ring file
a. 在IE中使用http打开certreq.nsf,点击"Accept This Authority in Your Server"
b. 拷贝证书文本
c. 在Admin client,打开Mail server上Certsrv.nsf,点击"Install Trusted Root Certificate into Key Ring.",完成各项设置,并粘贴证书文本。
(5) 使用CA签名server的证书请求
a. 在Admin client,打开CA服务器的certreq.nsf中Pending/Submitted Requests视图
b. Submit刚才提交的请求
c. 打开CA服务器的admin4.nsf数据库,打开Certification Authority Requests/Certificate Requests视图,批准刚才提交的请求。
d. 打开CA服务器的certreq.nsf数据库,打开Pending/Submitted Certificates视图,选择你的请求,并点击“pull selected Requests”.
(6) 迁移被批准的server证书到key ring file
a. 在certreq.nsf -> Issued/Rejected Certificates视图中打开你所请求的证书,拷贝Request ID
b. 在IE中打开CA服务器上的certreq.nsf数据库,点击“Pick Up Server Certificate”,输入Request ID。
c. 在Pick Up Server Certificate中选择证书格式为:PKCS7。并拷贝证书文本。
d. 在Notes Client,打开certsrv.nsf,点击"Install Certificate into Key Ring.",粘贴证书文本。
e. 拷贝keyfile.kyr和keyfile.sth到Mail server的data目录下。
(7) 为SSL配置端口,过程同上。
注意:对于Mail tab下各端口设置,需要禁用TCP端口,启用SSL端口,才能保证用户通过SSL访问自己的邮件。
=========================================================================
Please Refer to the below help:
1. Setting up a server-based Domino certification authority
2. Setting up SSL on a Domino server
以上文档只写明了配置过程中的关键步骤,更详细的配置过程请参见帮助中这两个主题。
Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=1530496
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号