图文并茂为您详解如何配置Domino CA以支持SSL

本文涉及的产品
Digicert DV 证书 单域名,20个 3个月
简介:
图文并茂为您详解如何配置Domino CA以支持SSL
部分文字参考网上《如何配置Domino CA以支持SSL》一文,但是原文只有晦涩的文字没有图,且文中描述为翻译后的中文,和实际配置中的英文环境有一定的个人理解差异,加上有部分解释不够完善,遂自行实验一番,以图文形式供需要者参阅。文中实验平台为Domino7。
================水煮豆豆博客很好很强大的分割线=====================
【导读】配置Domino CA以支持 SSL 是R4.61以后的版本才具有的功能.下面以R5为例,介绍如何配置 SSL (secure socket layer)。R4.6X、R6.X的配置基本相同 。
配置步骤
(一)配置验证字权威服务器
创建验证字权威数据库
1)点击菜单"文件"--"数据库"--"新建"
2)服务器:选择验证字权威服务器
模板服务器:选择验证字权威服务器
模板:点击"显示高级模板",选择"Domino R5验证字权威"模板(cca50.ntf)
数据库名称:certca.nsf(在R4.6X中必须是该名称)
3)点击"确定"按钮
配置验证字权威数据库
1)打开验证字权威数据库,左边点击"验证字权威配置"视图
2)右边点击"创建验证字权威密钥文件和证书"
密钥文件信息:
密钥文件名称:存储验证字权威密钥和证书的文件名称,相对于管理员客户端的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是CAKey.kyr
密钥文件口令:推荐最少六个字符
口令证实:重新输入口令
文件尺寸:
密钥尺寸:选择512或1024
层次名称:提供了验证字权威的唯一标识,包括
普通名称:验证字权威名称,例如Cyber CA
组织:公司名称,例如Cyber
州\省:至少三个字符,例如beijing
国家:两个字符的国家代码,例如CN
点击"创建验证字权威密钥文件"按钮,出现一个窗口显示验证字权威的信息,点击"确定"按钮
3)右边点击"配置验证字权威简要表"  (水煮豆豆注:原文翻译的有问题,实际上是配置验证字的授权属性,这里如果没有正确配置的话,在后面申请服务器验证字的过程会出现很多人头疼的"type mismatch",要命的是,出错以后依然还能生成证书,如果已经出现这个错误的朋友,可以在这里重新配置属性环境,然后删除notes/data/下的服务器的key,然后重新做后面的步骤)
配置相关选项,点击"保存关闭"按钮
4)右边点击"创建服务器密钥文件和证书"
服务器密钥文件信息:
密钥文件名称:存储服务器密钥和证书的文件名称,相对于管理员客户端的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是keyfile.kyr
密钥文件口令:推荐最少六个字符
口令证实:重新输入口令
文件尺寸:
密钥尺寸:选择512
验证字权威证书标识:输入验证字权威名称,例如Cyber CA
服务器层次名称:提供了您的站点的唯一标识,包括
普通名称:服务器名称,例如  [url]http://www.cyber.com/[/url]
组织:公司名称,例如Cyber
州\省:至少三个字符,例如beijing
国家:两个字符的国家代码,例如CN
点击"创建服务器密钥文件"按钮,输入验证字权威密钥文件的口令,点击"确定"按钮.
出现一个窗口显示服务器密钥文件的信息,点击"确定"按钮
(二)配置验证字权威服务器文档
打开公共通信录数据库 (水煮豆豆注:这个所谓的公共通信录就是传说中很有名的names.nsf,此外还要注意,这时要选择Domino目录下的而非Notes目录下的,很多人也是在这个地方转圈圈),选择"服务器"视图下的"服务器"子视图,编辑CA服务器的文档
点击标签"端口"--"Internet端口"--"web"
SSL 密钥文件名称:输入CA服务器的密钥文件名称,相对于服务器的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是keyfile.kyr
SSL 端口号:443
SSL 端口状态:启用
验证选项:根据需要选择以下验证方式(客户端证书,名字和口令,匿名)
重新启动服务器生效
启动http服务器任务
(三)配置服务器验证字管理数据库,为web服务器向CA服务器申请证书
注意:该数据库是系统自动生成的.若您的web服务器和CA服务器是同一台Domino服务器,则web服务器使用CA服务器的证书,您不需配置该步.
打开服务器上的服务器验证字管理数据库(certsrv.nsf),左边点击"创建密钥文件和证书"视图
    (水煮豆豆注:本节后面的内容和前面的图类似,因此就不再截图了)
右边点击"创建密钥文件",过程同上面的"创建验证字权威密钥文件和证书",在此不再赘述.
右边点击"创建证书请求"
确认密钥文件名称
选择请求方式,共有两种:从CA站点粘贴;通过e-mail发送给CA.下面以前者为例来描述.
点击按钮"创建证书请求",输入该服务器的密钥文件的口令,点击"确定"按钮
在随后出现的创建证书请求的窗口中,将下面段落中的所有字符拷贝到剪贴板上,点击"确定"按钮
提交证书请求
启动浏览器,在URL输入  [url]http://caservername/certca.nsf[/url] ,其中caservername是您的CA服务器的名称.
左边点击"请求服务器证书",右边输入联系人信息,将第3步中剪贴板上的信息粘贴到下面的域中,点击"提交证书请求"按钮
提取验证字权威作为信任的根证书
启动浏览器,在URL输入  [url]http://caservername/certca.nsf[/url] ,其中caservername是您的CA服务器的名称.
左边点击"在您的服务器中接受该权威",在屏幕右边将最下面的段落拷贝到剪贴板上
在服务器密钥文件中安装验证字权威证书作为信任的根证书
1)打开服务器上的服务器验证字管理数据库(certsrv.nsf),左边点击"创建密钥文件和证书"视图
2)右边点击"在密钥文件中安装信任的根证书"
确认密钥文件名称
证书标识:输入验证字权威名称,例如Cyber CA
证书来源:选择"剪贴板"
将第5步中的剪贴板上的信息粘贴到下面的域中,点击按钮"将信任的根证书合并入服务器密钥文件"
输入验证字权威口令,点击"确定"按钮
查看合并信息,点击"确定"按钮
点击"确定"按钮
验证字权威的管理员同意证书请求
1)打开验证字权威数据库,左边点击"服务器证书请求"视图
2)右边屏幕会出现web服务器提交的证书请求文档,打开该文档
修改使用期限,记住提取ID,点击"同意"按钮
输入验证字权威的口令,点击"确定"按钮
输入该站点的主机名,点击"确定"按钮
提取服务器证书
启动浏览器,在URL输入  [url]http://caservername/certca.nsf[/url] ,其中caservername是您的CA服务器的名称.
左边点击"提取服务器证书",右边输入刚才记下的提取ID,点击"提取签名的证书"按钮
将下面段落中的所有字符拷贝到剪贴板上
在服务器密钥文件中安装签名的证书
1)打开服务器上的服务器验证字管理数据库(certsrv.nsf),左边点击"创建密钥文件和证书"视图
2)右边点击"在密钥文件中安装证书"
确认密钥文件名称
证书来源:选择"剪贴板"
将第8步中的剪贴板上的信息粘贴到下面的域中,点击按钮"将证书合并入服务器密钥文件"
输入验证字权威口令,点击"确定"按钮
查看合并信息,点击"确定"按钮
点击"确定"按钮
10配置web服务器文档
1)打开公共通信录数据库,选择"服务器"视图下的"服务器"子视图,编辑web服务器的文档
2)点击标签"端口"--"Internet端口"--"web"
SSL 密钥文件名称:输入web服务器的密钥文件名称,相对于服务器的数据目录.如果文件放在别的目录下,输入绝对路径.缺省值是keyfile.kyr
SSL 端口号:443
SSL 端口状态:启用
验证选项:根据需要选择以下验证方式(客户端证书,名字和口令,匿名)
3)重新启动服务器生效
4)启动http服务器任务
(四)配置浏览器,为用户向CA服务器申请证书
浏览器信任该验证字权威
启动浏览器,在URL输入  [url]http://caservername/certca.nsf[/url] ,其中caservername是您的CA服务器的名称.
左边点击"在您的浏览器中接受该权威",右边的窗口中点击"在您的浏览器中接受该权威"
连续点击五次"下一步"按钮,输入验证字权威名称,例如Cyber CA,点击"完成"按钮  (水煮豆豆注:貌似我没有看到有这一步的任何选项。直接下载就是了)
 
浏览器提交证书请求
启动浏览器,在URL输入  [url]http://caservername/certca.nsf[/url] ,其中caservername是您的CA服务器的名称.
左边点击"请求客户端证书",右边的窗口中输入证书信息,联系人信息,加密长度选择512,点击"提交证书请求"按钮
在生成私有密钥的窗口中,点击"确定"按钮
设置communicator口令,点击"确定"按钮
验证字权威的管理员同意证书请求
1)打开验证字权威数据库,左边点击"客户端证书请求"视图
2)右边屏幕会出现客户端提交的证书请求文档,打开该文档
选择在公共通讯录中注册证书
用户名称:从通讯录中选择使用该证书的用户
修改使用期限,记住提取ID,点击"同意"按钮
输入验证字权威的口令,点击"确定"按钮
提取客户端证书
启动浏览器,在URL输入  [url]http://caservername/certca.nsf[/url] ,其中caservername是您的CA服务器的名称.
左边点击"提取客户端证书",右边输入刚才记下的提取ID,点击"提取签名的证书"按钮
点击"接受证书"按钮
(可选)如果您使用的是第三方的CA,还要在左边点击"注册客户端证书".
(水煮豆豆注:这时去访问SSL是会失败的,原因是keyfile在notes\data目录下而非domino\data下,此时需将所有keyfile文件copy到domino\data下。)
这样配置完成后,您就可以在URL中以https://的方式访问web服务器.
   
至此,这篇教程就该告一段落了。文中我们测试用的CA、SERVER、WEB都在一台服务器上,如果不在一起的话,问题可能还会有一些。我想我们在配置Domino这样的大型应用系统时,应当秉持理解原理为先的思想,而非简单的依葫芦画瓢,这样才能在纷繁复杂的网络环境中做到以不变应万变,成为合格的集成工作者。





   本文转自 beansprouts 51CTO博客,原文链接:http://blog.51cto.com/netwalk/68111 ,如需转载请自行联系原作者
相关文章
|
17天前
|
安全 应用服务中间件 网络安全
配置Nginx反向代理实现SSL加密访问的步骤是什么?
我们可以成功地配置 Nginx 反向代理实现 SSL 加密访问,为用户提供更安全、可靠的网络服务。同时,在实际应用中,还需要根据具体情况进行进一步的优化和调整,以满足不同的需求。SSL 加密是网络安全的重要保障,合理配置和维护是确保系统安全稳定运行的关键。
65 3
|
28天前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
|
2月前
|
安全 应用服务中间件 Shell
nginx配置https的ssl证书和域名
nginx配置https的ssl证书和域名
|
2月前
|
Linux 应用服务中间件 Shell
利用 ACME 实现SSL证书自动化配置更新
【10月更文挑战第11天】多项式承诺原理是密码学中的重要工具,允许证明者向验证者承诺一个多项式并证明其某些性质。Kate多项式承诺是一种知名方案,基于有限域上的多项式表示,通过生成和验证简洁的证明来确保多项式的正确性和隐私。其安全性基于离散对数假设。应用场景包括区块链中的零知识证明和可验证计算,以及多方计算和身份认证协议。在区块链中,Kate多项式承诺可用于保护隐私币和智能合约中的敏感信息。
|
2月前
|
弹性计算 应用服务中间件 网络安全
ECS服务器使用:SSL证书安装、配置和问题定位指南
本文简要介绍了SSL证书的生成与部署方法,包括使用OpenSSL生成自签名证书和从CA获取证书的步骤,以及在Apache和Nginx服务器上的配置方法。此外,还提供了测试证书是否生效的方法和常见问题的解决策略,帮助确保证书正确安装并解决调试过程中可能遇到的问题。
177 0
|
4月前
|
jenkins 应用服务中间件 持续交付
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
229 8
|
4月前
|
负载均衡 前端开发 应用服务中间件
使用Nginx配置SSL以及部署前端项目
本文介绍了如何使用Nginx配置SSL证书以启用HTTPS,并展示了如何通过Nginx部署前端项目,包括配置SSL证书、设置代理和负载均衡的示例。
119 2
|
4月前
|
存储 网络安全 Windows
【Azure 云服务】为Azure云服务配置上自签名的SSL证书步骤
【Azure 云服务】为Azure云服务配置上自签名的SSL证书步骤
|
5月前
|
应用服务中间件 网络安全 nginx
使用Nginx Proxy Manager配置Halo的反向代理和申请 SSL 证书
本文引导如何用Nginx Proxy Manager (NPM)配置Halo的反向代理与SSL证书。NPM简化了Nginx的配置流程,适合无Nginx基础的用户。安装NPM无需额外安装Nginx,避免端口冲突。通过`docker-compose.yaml`启动NPM服务,并映射必要的端口。配置Halo反向代理需登录NPM面板,添加代理主机,设置域名、转发IP等参数。NPM支持自动申请与续期SSL证书,确保网站安全访问。更多Halo安装细节,请参考[如何在Linux云服务器上通过Docker Compose部署安装Halo](https://zhangfeidezhu.com/?p=631).
282 0
使用Nginx Proxy Manager配置Halo的反向代理和申请 SSL 证书
|
4月前
|
缓存 Ubuntu 应用服务中间件
如何在 Ubuntu 14.04 上配置 Varnish Cache 4.0 实现 SSL 终止
如何在 Ubuntu 14.04 上配置 Varnish Cache 4.0 实现 SSL 终止
51 0

热门文章

最新文章