Domino как источник сертификатов

Шаг 5: установка сертификата в кольцо для ключей

Как правило, данный запрос направляется внешнему источнику сертификатов, процессы которого не видны для отправителя запроса. Поскольку мы используем Domino Certificate Authority, мы также покажем этапы, связанные с одобрением запроса на получение сертификата сервера. Приведенный ниже процесс "выбора" сертификата в браузере будет одинаковым и при использовании Domino CA, и при использовании внешнего CA.

Выполните следующие действия:

1. Сначала нам нужно одобрить запрос на получение сертификата сервера в Domino CA:
   • При помощи клиента Notes откройте главное меню базы данных Domino Certificate Authority (CERTCA.NSF). Выберите пункт Server Certificate Requests (Запросы сертификатов серверов) на левой панели. Откроется представление Server Certificate Requests\Waiting for Approval (Запросы сертификатов серверов/ожидание одобрения).
     

     
     увеличить изображение
     Рис. C.19. Представление Server Certificate Requests\Waiting for Approval (Запросы сертификатов серверов/ожидание одобрения)
   • В данном представлении выберите запрос сертификата сервера (в нашем примере представлен только один) и откройте документ. Откроется форма Certificate Request Approval (Одобрение запроса сертификата), показанная на рис. С.20.
     

     
     увеличить изображение
     Рис. C.20. Форма Certificate Request Approval (Одобрение запроса сертификата)
   • В этой форме ввод данных может потребоваться только в 3 поля:
     • Send a notification e-mail to the requestor (Послать по почте уведомление отправителю запроса) (флажок). Если вы установите эту опцию или если она уже установлена (она установлена по умолчанию, если это указано в профиле СА), то отправителю запроса посылается ключ доступа к сертификату, который называется Pick Up ID (ID выбора) (обычно он представляет собой 10 буквенно-цифровых символов).
     • Validity Period (Период действия): 2 Years. Это период действия сертификата (начинающийся с 0:00 всемирного времени дня одобрения сертификата) в годах или днях. Вы также при желании можете изменить значение, задаваемое в этом поле по умолчанию (также через профиль СА).
     • Reason (Причина): <пустое поле, если запрос не отклонен>. В этом поле администратор указывает причину отклонения запроса.
     Если установлено, что запрос правомерен и может быть одобрен, нажмите кнопку Approve (Одобрить) в разделе Approve (Одобрение). В противном случае нажмите кнопку Deny (Отклонить) в разделе Deny (Отклонение). Если существуют сомнения, в целях данного упражнения нажмите Approve. При этом откроется диалоговое окно с предложением ввести пароль кольца для ключей СА, показанное на рис. С.21.
     

     
     Рис. C.21. Диалоговое окно с предложением ввести пароль кольца для ключей СА
   • Введите пароль доступа к файлу кольца для ключей источника сертификатов, чтобы его можно было открыть и получить личный ключ CA для подписания запроса на сертификат. Запрос будет одобрен и помещен в представление, показанное на рис. С.22, которое можно увидеть, нажав кнопку View approved Certificate requests (Просмотр одобренных запросов сертификатов) (кнопка с зеленой галочкой).
     

     
     увеличить изображение
     Рис. C.22. Представление Server Certificate Requests\Approved for Pick Up (Запросы сертификатов серверов/одобренные)
   На этом завершаются действия администратора источника сертификатов по одобрению сертификата сервера. Теперь все готово к тому, чтобы администратор сервера выбрал сертификат, используя Pick Up ID.
2. Чтобы установить сертификат сервера в кольцо для ключей сервера, выполните следующие шаги:
   • При помощи Web-браузера откройте базу данных Domino Certificate Authority (или внешний источник сертификатов, который вы выбрали для сертификации своего общего ключа) и нажмите кнопку Pick Up Server Certificate (Выбрать сертификат сервера) в меню слева. На правой стороне страницы откроется Web-форма Pick Up Signed Certificate (Выбор подписанного сертификата), показанная на рис. С.23.
     

     
     увеличить изображение
     Рис. C.23. Web-форма Pick Up Signed Certificate (Выбор подписанного сертификата)
   В качестве альтернативы: если вы получили по почте уведомление о том, что сертификат одобрен и готов к выбору, в этом письме должен быть URL, позволяющий вам напрямую обратиться к готовому сертификату. В данном случае используйте указанный URL, чтобы открыть панель Pick Up (Выбор).
   • Введите идентификатор Pick Up ID в показанное поле. (Если вы получили уведомление по электронной почте, более удобным будет скопировать ID в буфер Domino как источник сертификатов 201 обмена и вставить его в это поле; в противном случае введите его в это поле с клавиатуры.) Нажмите кнопку Pick Up Signed Certificate (Выбрать подписанный сертификат). Откроется документ подтверждения выбора подписанного сертификата, показанный на рис. С.24.
     

     
     увеличить изображение
     Рис. C.24. Документ подтверждения выбора подписанного сертификата
   • Прокрутите документ вниз до сертификата и скопируйте его в буфер обмена (обязательно включите в копируемый текст строки BEGIN CERTIFICATE и END CERTIFICATE). Обращаем внимание на то, что хорошей практикой является вставка этого текста в приложение "Блокнот" на тот случай, если между этим и следующим шагами буфер обмена потребуется для чего-то иного.
   • При помощи клиента Notes откройте базу данных Server Certificate Administration (CERTSRV.NSF).
   • Выберите пункт 4, Install Certificate into Key Ring (Установить сертификат в кольцо для ключей). Откроется форма Install Certificate into Key Ring (Установка сертификата в кольцо для ключей), показанная на рис. С.25, в которой содержится 3 поля, значения в которых вы должны заполнить, проверить и, при необходимости, изменить:
     

     
     увеличить изображение
     Рис. C.25. Форма Install Certificate into Key Ring (Установка сертификата в кольцо для ключей)
     • Key Ring File Name (Имя файла кольца для ключей): c:\notes\data\keyfile.kyr. Это имя файла кольца для ключей и путь к нему. В этом поле содержится значение, которое было введено в него ранее (например, при первоначальном создании запроса).
     • Certificate Source (Местоположение сертификата): Clipboard. Выберите место, где находится сертификат (файл или буфер обмена). По умолчанию принимается значение Clipboard (Буфер обмена).
     • Certificate from Clipboard (Сертификат из буфера обмена). Это сертификат в формате PKSC-12.
   • Нажмите кнопку Merge Certificate into Key Ring (Добавить сертификат в кольцо для ключей). Откроется диалоговое окно с приглашением ввести пароль кольца для ключей сервера, показанное на рис. С.26.
     

     
     Рис. C.26. Диалоговое окно ввода пароля к кольцу для ключей сервера
   • В ответ на приглашение введите пароль к файлу кольца для ключей сервера и нажмите OK. Откроется диалоговое окно подтверждения, показанное на рис. С.27.
     

     
     увеличить изображение
     Рис. C.27. Диалоговое окно подтверждения добавления подписанного сертификата
   • Нажмите OK. Откроется сообщение с информацией о том, что сертификат добавлен в кольцо для ключей, показанное на рис. С.28.
     

     
     Рис. C.28. Окно сообщения Certificate Received into Key Ring (Сертификат добавлен в кольцо для ключей)
   • Нажмите OK, чтобы закрыть окно сообщения.

В этот момент вы можете скопировать файл кольца для ключей на диск данных сервера (например, c:\domino\data). Обратите внимание, что вы должны скопировать также соответствующий "секретный" файл (он будет иметь то же имя, что и файл кольца для ключей, но расширение будет .sth). В этом файле содержится копия (зашифрованная) пароля кольца для ключей сервера, чтобы сервер мог открывать кольцо для ключей.

На следующем этапе мы изменим конфигурацию задачи HTTP на сервере для использования SSL, для чего внесем изменения в документ Server в Domino Directory.