Domino как источник сертификатов
Шаг 8 (дополнительный): принятие СА как доверенного корневого в Web-браузере
Данный процесс очень сходен с процессом, описанным в шаге 4: "Введение сертификата источника сертификатов в кольцо для ключей сервера", за исключением того, что доверенный корневой сертификат СА добавляется в кольцо для ключей браузера.
Принимая источник сертификатов в качестве доверенного корневого в своем Web-браузере, вы устанавливаете доверительные отношения. Вы (или, точнее, ваш браузер) будете принимать любые сертификаты, подписанные данным СА как действительные, поскольку вы указали, что вы доверяете данному источнику сертификатов.
Обратите внимание, что если вы запрашиваете сертификат из внешнего источника сертификатов, у вас уже может по умолчанию быть установленный сертификат. Для проверки этого в Microsoft Internet Explorer (мы использовали Internet Explorer 6.0, ваша версия может немного отличаться) выполните следующие шаги:
- Выберите в меню Windows пункт Tools (Инструменты) Internet Options (Параметры Интернета).
- Перейдите на закладку Content (Содержимое) и нажмите Certificates (Сертификаты).
- Перейдите к закладке Trusted Root Certification Authorities (Источники корневых доверенных сертификатов). Здесь перечислены имеющиеся в браузере по умолчанию источники сертификатов, показанные на рис. С.33.
- В данном диалоговом окне вы можете удалить флаг trusted root (доверенный корневой) с любого сертификата или удалить его из кольца для ключей.
Чтобы принять сертификат сервера в Web-браузере, выполните следующие шаги:
- При помощи Web-браузера откройте базу данных Domino Certificate Authority (CERTCA.NSF) и выберите пункт Accept This Authority In Your Browser (Принимать этот источник в браузере). Откроется документ Trust This Authority in Your Browser (Доверять данному источнику в браузере), как показано на рис. С.34.
- Нажмите на ссылку Accept This Authority in Your Browser (Принимать этот источник в браузере) на этой странице. Откроется диалоговое окно File Download (Скачивание файла), показанное на рис. С.35.
увеличить изображение
Рис. C.34. Документ Trust This Authority in Your Browser (Доверять данному источнику в браузере) - Нажмите Open (Открыть). После того как сертификат безопасности будет скачанс сервера, откроется диалоговое окно Certificate information (Информация о сертификате), показанное на рис. С.36.
- Здесь может возникнуть некоторая путаница. Если вы нажмете OK, то диалоговое окно Certificate information (Информация о сертификате) закроется, но серти- фикат в Web-браузере принят не будет (хотя вы можете подумать обратное). В диалоговом окне Certificate information необходимо нажать на кнопку Install Certificate (Установить сертификат). Откроется диалоговое окно Welcome to the Certificate Import Wizard (Добро пожаловать в мастер импортирования сертифи- катов), показанное на рис. С.37.
- Нажмите Next (Далее). Откроется следующая панель мастера импортирования сертификатов, показанная на рис. С.38.
- Убедитесь, что опция Automatically select the certificate store based on the type of certificate (Автоматически выбирать хранилище сертификатов на основе типа сертификата) установлена, и нажмите Next (Далее). Откроется последняя панель мастера импортирования сертификатов, показанная на рис. С.39.
- Нажмите Finish (Готово). Откроется диалоговое окно Root Certificate Store (Хранилище корневых сертификатов), показанное на рис. С.40.
Нажмите Yes (Да), чтобы добавить сертификат в хранилище Web-браузера. Появится последнее окно с сообщением, подтверждающим, что импорт был выполнен успешно (рис. С.41).
Теперь снова можно проверить сертификаты в Microsoft Internet Explorer (мы использовали Internet Explorer 6.0, ваша версия может немного отличаться). Для этого выполните следующие шаги:
- Выберите в меню Windows пункт Tools (Инструменты) Internet Options (Параметры Интернета).
- Перейдите на закладку Content (Содержимое) и нажмите Certificates (Сертификаты).
- Перейдите на закладку Trusted Root Certification Authorities (Источники корневых доверенных сертификатов). Здесь перечислены имеющиеся в браузере по умолчанию источники сертификатов, показанные на рис. С.42.
- В данном диалоговом окне проверьте, был ли СА добавлен как trusted root (доверенный корневой). Прокрутите список вниз, и вы должны увидеть Domino CA.
Теперь все задачи выполнены, если только вам не нужно выполнять аутентификацию по клиентским сертификатам или использовать безопасный обмен сообщениями S/MIME. В этом случае вы должны сгенерировать, выбрать и использовать клиентские сертификаты. Мы расскажем об этом в следующем разделе.