Администрирование в вопросах и ответах

       

SSL и S/MIME для клиентов


Клиенты могут использовать Domino Certificate Authority (CA) или CA других производителей, чтобы получить сертификат SSL. Метод, который Вы будете использовать, чтобы настроить клиента, зависит от следующего:

*                    Тип Клиента - или Notes или другой клиент интернет

*                    Тип сертификата CA - Domino CA или другой производитель CA, типа VeriSign

*                    Требования безопасности для клиента: серверное SSL установление подлинности, SSL установление подлинности клиента, или S/MIME безопасность для сообщений.

Идентификация с использованием SSL клиентом и сервером.

SSL - протокол, используемый Notes и другими клиентами интернета, который шифрует соединения, подтверждает данные и подлинность серверов, идентичность клиента, когда Notes или другой клиент интернет соединяется с интернетом сервером - например, Web сервером или LDAP сервером.

На сервере с настроенным SSL протоколом, Вы можете выбирать разрешение SSL на всех протоколов, или позволять SSL только на некоторых протоколах. Например, Вы можете позволить SSL на протоколах почты IMAP, POP3, SMTP, но запретить его для NNTP.

Вы можете настроить клиента для идентифицикации сервером, или и установление подлинности клиентом и сервером. Как Вы настроите клиента, зависит от того, требует ли сервер устанавливать подлинности, или установление подлинности будут осуществлять клиент и сервер.

Установление подлинности сервером позволяет клиентам проверять идентичность сервера, чтобы удостовериться, что другой сервер не выдает себя за сервер, к которому Вы хотите получить доступу.

Установление подлинности клиентом, позволяет администраторам серверов  идентифицировать клиента, обращающегося на сервер и управлять доступом к базам данных, основанным на идентичности клиента.
Например, если Вы хотите, чтобы Alan Jones имел доступ редактора к базе данных, но все другие обращающийся к базе данных, имели доступ автора, Вы можете настроить ACL базы данных, чтобы включить имя Alan Jones как редактор, но предоставить пользователю Anonymous доступ автора.

Вы должны тщательно рассмотреть, хотите ли Вы требовать идентифицикации клиента. Если Вы не должны идентифицировать пользователей интернета, кто имеет доступ на сервер, Вы не должны настаивать установление подлинности клиента. Фактически, в некоторых случаях, требуя интернет сертификат, Вы может запретить пользователям вызов сервера. Если Вы требуете интернет сертификат, пользователь должен исполнить дополнительные шаги, чтобы настроить установление подлинности клиента.

Notes и клиенты интернет, которые используют установление подлинности клиента, имеет интернет сертификаты, которые содержат публичные и личные ключи, имя, дату истечения, и цифровую подпись сертификата. Клиенты Notes хранят интернет сертификаты в Notes ID файле, клиенты интернет хранят интернет сертификаты в локальном файле. Публичный ключ клиента также сохраняется в Domino Directory, так что другие могут получить к нему доступ.

интернет и клиенты Notes могут получить интернет сертификаты или от Domino CA или независимых производителей CA.

Шифрование сообщений с использованием S/MIME.

S/MIME - протокол, используемый клиентами, чтобы подписать сообщения почты и посылать шифрованные почтовые сообщения пользователям почтовых программ, которые также поддерживают S/MIME протокол. IE и Netscape Коммуникатор поддерживают эти функции. Клиент Notes использует интернет сертификат, тот же самый сертификат, используемый для SSL - в Notes ID файле и публичный ключ, сохраненный в Domino Directory, чтобы шифровать и подписывать сообщения.

Клиент Notes должен также иметь публичный ключ каждого получателя в Domino Directory, чтобы послать шифрованные сообщения другим пользователям.


Содержание раздела