Domino как источник сертификатов
Запрос, выбор и использование клиентских сертификатов
В этом разделе мы опишем шаги, связанные с запросом, выбором и использованием клиентского сертификата. Этот тип сертификата позволяет нам проводить SSLv3-аутентификацию клиента и применять безопасный обмен сообщениями с помощью S/MIME.
Шаг 1: запрос клиентского сертификата
Для создания запроса на получение клиентского сертификата выполните следующие шаги:
- При помощи Web-браузера откройте базу данных Certificate Authority (CERTCA.NSF). Выберите пункт Request Client Certificate (Запросить клиентский сертификат).
- Откроется форма Request a Client Certificate for Microsoft Internet Explorer (Запрос клиентского сертификата для Microsoft Internet Explorer), показанная на рис. С.43. Введите приведенную ниже информацию.
увеличить изображение
Рис. C.43. Форма Request a Client Certificate for Microsoft Internet Explorer (Запрос клиентского сертификата для Microsoft Internet Explorer) - Нажмите на ссылку Submit Certificate Request (Отправить запрос клиентского сертификата) в нижней части формы. Это может привести к появлению сообщения Potential Scripting Violation (Потенциальное нарушение правил написания скриптов), показанное на рис. С.44.
увеличить изображение
Рис. C.44. Сообщение Potential Scripting Violation (Потенциальное нарушение правил написания скриптов) - Нажмите Yes (Да) в диалоговом окне Potential Scripting Violation. Откроется ответ от СА – подтверждение приема запроса сертификата, показанный на рис. С.45.
На этом завершается процесс запроса сертификата. Прежде чем вы сможете продолжить, источник сертификатов должен одобрить ваш запрос.
увеличить изображение
Рис. C.45. Документ Your Certificate Request Has Been Submitted (Ваш запрос сертификата был отправлен)
Шаг 2: одобрение запроса клиентского сертификата в Domino СА
Выполните следующие действия:
- При помощи клиента Notes откройте главное меню базы данных Domino
Certificate Authority (CERTCA.NSF). Выберите пункт Client Certificate Requests
(Запросы клиентских сертификатов) на левой панели. Откроется представление
Client Certificate Requests\Waiting for Approval (Запросы сертификатов клиентов/
ожидание одобрения), показанное на рис. С.46.
увеличить изображение
Рис. C.46. Представление Client Certificate Requests\Waiting for Approval (Запросы сертификатов клиентов/ожидание одобрения) - В данном представлении выберите запрос клиентского сертификата (в нашем примере
представлен только один) и откройте его. Откроется форма Client Certificate Request
Approval (Одобрение запроса клиентского сертификата), показанная на рис. С.47.
увеличить изображение
Рис. C.47. Форма Client Certificate Request Approval (Одобрение запроса клиентского сертификата) - В верхней части формы содержится информация из запроса клиентского сертификата
(разделы Contact Information и Certificate Information). Обратите внимание,
что данные в разделе Contact Information (Контактная информация) не обязательно
повторяют данные раздела Certificate Information (Информация о сертификате).
Они могут различаться, если отправитель указал в качестве контактного
лица своего коллегу (например, так мог сделать человек, только что поступивший
на работу, не имеющий своего телефона и регистрирующий сертификат). Также
обратите внимание, что вы можете только просматривать информацию о сертификате.
Если информация неверна, вам нужно отклонить запрос и попросить
клиента снова отправить исправленный запрос.
- Certificate Registration (Регистрация сертификата):
- Register certificate in the Public Address Book (Регистрировать сертификат в общей адресной книге). Этот параметр позволяет вам добавить одобренный сертификат в документ Person отправителя запроса [закладка Internet Certificates (Интернет-сертификаты) на закладке Certificates (Сертификаты)]. Если данный параметр включен, то в базу данных Administration Requests помещается запрос на выполнение операции. Операция выполняется на административном сервере Domino Directory, а этот сервер может быть иным, чем сервер-источник сертификатов Domino. Поэтому необходимо, чтобы данный пользователь уже существовал в Domino Directory (предпочтительно, во всех репликах, но обязательно в реплике на административном сервере Domino Directory в момент выполнения запроса).
- User Name (Имя пользователя): Frederic Dahm. В этом поле можно изменять имя, применяемое для поиска пользователя в Domino Directory. Администратор может ввести сюда имя, совпадающее с одним из имен в поле User name документа Person. Если имя в сертификате имеет несколько иное написание или формат, то отправленный запрос будет несколько отличаться, но это не должно повлиять на добавление его в Domino Directory. Вы можете нажать на кнопку со стрелкой вниз справа от поля и открыть Domino Directory (любые директории, известные вашему клиенту) для поиска имен и выбора нужного имени.
- Choose an Action for this Request (Выбор действия для данного запроса):
- Send a notification email to the requestor (Послать по почте уведомление отправителю). Этот параметр позволяет вам указать, что отправителю запроса нужно автоматически посылать сообщение по электронной почте. Этот параметр установлен по умолчанию, если он был выбран в профиле СА. Обратите внимание, что пользователей нужно предупредить о том, что, даже если их запрос одобрен, прежде чем сертификат будет добавлен в Domino Directory и прежде чем он будет доведен до всех реплик, должно пройти какое-то время. В сообщении, генерируемом по умолчанию, предполагается, что этот процесс происходит немедленно.
- Approve (Одобрить):
- Validity Period (Период действия): 2 Years (2 года). Период 2 года установлен по умолчанию, но вы можете заменить это значение любым другим, указанным в годах или днях.
- Pickup ID: <ID для получения сертификата> (например, CC0000091E).
- Deny (Отклонить):
- Reason (Причина): <>. Если по какой-то причине администратор отклоняет запрос, он может заполнить данное поле. Это значение сохранится в запросе для последующих обращений и будет включено в почтовое сообщение, направляемое отправителю запроса.
- Certificate Registration (Регистрация сертификата):
- Если установлено, что запрос правомерен и может быть одобрен, нажмите кнопку Approve (Одобрить) в разделе Approve (Одобрение). В противном случае нажмите Deny (Отклонить) в разделе Deny (Отклонение) [если у вас есть сомнения, в целях данного упражнения нажмите Approve (Одобрить)]. Откроется приглашение ввес- ти пароль кольца для ключей СА, показанное на рис. С.48.
Если вы решили добавить сертификат в Domino Directory, используя Domino Administration Process, вы можете убедиться в том, что добавление прошло успешно, после того как пройдет время, необходимое для обработки и репликации. Откройте документ Person пользователя и перейдите на закладку Certificates (Сертификаты), а затем на закладку Internet Certificates (Интернет-сертификаты). Проверьте интернет-сертификат, как показано на рис. С.49. Если сертификат присутствует, значит, добавление прошло успешно. Не требуется никаких других действий, кроме проверки того, что Domino Directory была реплицирована на все серверы с активированной задачей LDAP, указывающей на базу данных Directory Assistance для аутентификации Web-браузеров.
Если задача LDAP работает, вы также можете провести поиск сертификата, выполнив команду ldapsearch на сервере Domino. В командную строку введите следующую команду:
ldapsearch -v -L -h domino.lotus.com "cn=Fred*"
Наличие данных (двоичных) в поле user certificate подтверждает наличие сертификата, а записи документа Person – пользователя Frederic Dahm.
Если сертификат отсутствует (пока) в документе Person базы Domino Directory, вы можете:
- Открыть базу данных Administration Requests.
- Открыть пункт All Requests by Server (Все запросы сервера) в панели навигатора слева.
- Открыть категорию Administration Server of Public Address Book (Административный сервер общей адресной книги) и выбрать пункт Add Internet Certificate to Person Record (Добавить интернет-сертификат в документ Person). Вы должны найти свой запрос (может потребоваться прокрутить список, Domino как источник сертификатов если запросов много) и действия, которые были предприняты в связи с ним. Если запрос был обработан, под ним должен быть документ-ответ.
Обратите внимание, что если запрос и обработка прошли успешно, запрос будет отмечен зеленой галочкой перед документом-ответом, как показано на рис. С.50. Никаких других действий не требуется (за исключением проверки того, реплицировалась ли база Domino Directory на все серверы). Также отметьте, что, если перед документом-ответом стоит красный крест, это показывает, что добавление было неудачным. Исправьте ситуацию и снова отправьте запрос из документа-ответа.
увеличить изображение
Рис. C.50. Административный запрос на добавление интернет-сертификата в документ Person
На этом завершается процесс одобрения. Теперь клиентский сертификат можно выбирать в клиенте-браузере.