Domino как источник сертификатов
Шаг 3: принятие клиентского сертификата в кольцо для ключей браузера
Администратор сертификатов может отправить пользователю письмо-подтверждение, информирующее о том, что сертификат был одобрен и теперь готов к передаче клиенту. Если это так, то в письме будет содержаться URL, который пользователь может ввести в Web-браузер для прямого доступа к готовому сертификату.
Пользователь также может вручную ввести URL в Web-браузер, указав на Domino CA, и выбрать пункт Pick Up Client Certificate (Выбрать клиентский сертификат). Пользователю будет предложено ввести Pickup ID (который является частью URL, указанного в почтовом сообщении), который был прислан пользователю администратором сертификатов. Панель очень сходна с той, которая использовалась для выбора сертификата сервера.
Выполните следующие действия:
- При помощи Web-браузера откройте базу данных Certificate Authority (CERTCA. NSF) и выберите пункт Pick Up Signed Certificate (Выбрать подписанный сертификат). Откроется форма Pick Up Signed Certificate (Выбор подписанного сертификата), показанная на рис. С.51.
- В форму Pick Up Signed Certificate (Выбор подписанного сертификата) вставьте
(или введите) pickup ID (например, CC0000091E) и нажмите Pick Up Signed
Certificate (Выбрать подписанный сертификат). Откроется документ Pick Up
Signed Client Certificate for Microsoft Internet Explorer (Выбор подписанного клиентского
сертификата для Microsoft Internet Explorer), показанный на рис. С.52.
увеличить изображение
Рис. C.52. Документ Pick Up Signed Client Certificate for Microsoft Internet Explorer (Выбор подписанного клиентского сертификата для Microsoft Internet Explorer) - Проверив сертификат, нажмите Accept Certificate (Принять сертификат). Кли-
ентский сертификат будет установлен в кольцо для ключей браузера. Обратите
внимание, что подтверждающее сообщение отсутствует. Откроется диалоговое
окно Potential Scripting Violation (Потенциальное нарушение правил написания
скриптов), показанное на рис. С.53.
Сообщение Potential Scripting Violation (Потенциальное нарушение правил написания скриптов)
увеличить изображение
Рис. C.53. Сообщение Potential Scripting Violation (Потенциальное нарушение правил написания скриптов) - Нажмите кнопку Yes в окне Potential Scripting Violation (Потенциальное нарушение правил написания скриптов). Откроется ответ от СА – подтверждение приема запроса сертификата, показанный на рис. С.54.
- Нажмите кнопку Yes в окне сообщения об успешной установке сертификата.
Чтобы проверить, находится ли клиентский сертификат в хранилище сертифика- тов Microsoft Internet Explorer, выберите пункт Tools (Инструменты) Internet Options (Параметры Интернета). Перейдите на закладку Content (Содержание), нажмите Certificates (Сертификаты) и перейдите на закладку Personal (Личные). Чтобы увидеть содержимое сертификата, выберите элемент в списке и нажмите View (Просмотр). Откроется диалоговое окно со списком имеющихся по умолчанию в браузере источников сертификатов, показанное на рис. С.55. Нажмите OK, чтобы закрыть диалоговое окно сертификата, и Close (Закрыть), чтобы закрыть диалоговое окно Certificates (Сертификаты).
На этом завершается процесс запроса и установки клиентского сертификата в Web-браузер.
Если вы используете Domino CA, ваш администратор сертификатов может добавить ваш общий сертификат в документ Person в Domino Directory либо при одобрении запроса, либо впоследствии, просматривая одобренный запрос и при запросе на регистрацию. Если это так, от вас никаких действий не требуется. Если вы получили сертификат от внешнего источника сертификатов или если ваш администратор не скопировал ваш сертификат в Domino Directory, вы можете отправить запрос на эту операцию.
Шаг 4 (дополнительный): запрос регистрации клиентского сертификата
Этот процесс позволяет клиенту, имеющему сертификат в Web-браузере, послать запрос на помещение копии этого сертификата в документ Person в Domino Directory. При этом в базу данных Domino Certificate Authority помещается запрос, который администратор должен одобрить.
Если у вас есть сертификат, полученный от того же источника сертификатов Domino CA, вам этого делать не нужно: если у администратора есть копия вашего одобренного запроса сертификата, администратор может послать запрос на помещение этой копии в документ Person, нажав на кнопку в форме с одобренным запросом. Если запроса в базе данных больше нет или если вы получили свой сертификат от другого СА, вы должны выполнить процесс копирования сертификата браузера в Domino Directory. Это необходимо, если ваша организация использует LDAP-аутентификацию на основе сертификатов. Ваш администратор уже должен сконфигурировать сервер, на котором находится Domino СА, чтобы он поддерживал SSL (об этом рассказывается в разделе "Запрос и установка сертификата сервера").
Выполните следующие действия:
- Перейдите в Web-браузере к базе данных Domino Certificate Authority (т.е. к базе данных CERTCA.NSF).
- Используйте SSL (указывая в URL адрес https://) и выберите пункт Register a Client Certificate (Зарегистрировать сертификат клиента).
- Вам будет предложено ввести на панели контактную информацию. Отметим, что эта информация предназначена только для администратора, поскольку ваша "официальная" информация содержится в вашем сертификате.
- После ввода контактной информации нажмите кнопку Submit Certificate
(Отправить сертификат). Если вы получаете сообщение об ошибке [например, Unable to
process certificate registration request. The request requires a valid certificate signed by a
recognized Certificate Authority, and must be submitted over an SSL connection
(Невозможно обработать запрос на регистрацию сертификата. Для запроса требуется действующий
сертификат, подписанный доверенным источником сертификатов, и он
должен быть отправлен через SSL-соединение)], вам нужно отправить запрос заново.
Такое сообщение об ошибке может быть вызвано одной из двух причин:
- Вы не используете SSL. Исправьте URL, введя https:, и повторите запрос. Может потребоваться очистить кeш браузера или перезапустить браузер. Убедитесь в том, что вы используете SSL при открытии базы данных Certificate Authority, а не только при отправке запроса. Это связано с тем, что клиентский сертификат запрашивается в ходе приветствия SSL при первом открытии базы данных.
- Сервер, который использует Domino CA, не поддерживает SSL. Обратитесь к администратору для устранения проблемы и повторите запрос, когда поддержка SSL будет включена.
- Когда SSL-соединение будет успешно установлено, откроется диалоговое окно, предлагающее вам выбрать, какой клиентский сертификат вы хотите использовать. Если у вас больше одного сертификата, выберите тот, который вы хотите зарегистрировать в Domino Directory [раскройте список, нажав кнопку со стрелкой, справа от поля Select Your Certificate (Выберите сертификат)]. Проверьте сертификат, нажав кнопку More Info (Дополнительная информация). Выбрав нужный сертификат, нажмите Continue (Продолжить). Вы увидите панель подтверждения.
На этом составление запроса заканчивается. Ваш администратор должен одобрить его, и тогда запрос будет обработан. Существует параметр, который позволит администратору послать вам подтверждение того, что ваш запрос был одобрен. Обратите внимание, что само копирование в Domino Directory может выполняться не сразу, поскольку оно выполняется фоновым системным процессом (Administration Process), и, возможно, что копирование будет проходить на сервере, отличном от того, на который запрос был отправлен. После отправки запроса никаких действий от вас не требуется.
Для одобрения клиентского запроса на регистрацию администратор должен выполнить следующие действия:
- Откройте базу данных Domino Certificate Authority и выберите пункт Client Registration Requests (Клиентские запросы на регистрацию) из меню слева. Откроется представление с необработанными клиентскими запросами на регистрацию.
- Выберите документ с запросом, который нужно одобрить, и откройте его. Откроется
панель для одобрения. В верхней части формы приводится контактная информация,
взятая из запроса на регистрацию. Эта контактная информация не должна повторять
информацию из темы сертификата, отображаемую в поле Certificate Subject (Тема
сертификата) на нижней панели. Они могут различаться, если отправитель указал в
качестве контактного лица своего коллегу (например, так мог сделать человек, только
что поступивший на работу, не имеющий своего телефона и регистрирующий сертификат).
Также обратите внимание, что вы можете только просматривать информацию
о сертификате в нижней части панели. Если информация неверна (например, из-за
того, что клиент выбрал неверный сертификат из своем кольце для ключей), вам
нужно отклонить запрос и попросить клиента снова отправить исправленный запрос.
- Остаются следующие поля:
- User Name (Имя пользователя): Frederic Dahm. Это поле повторяет аналогичное поле на панели одобрения сертификата. В этом поле можно изменять имя, применяемое для поиска пользователя в Domino Directory. Администратор может ввести сюда имя, совпадающее с одним из имен в поле User name документа Person. Если имя в сертификате имеет несколько иное написание или формат, то отправленный запрос будет несколько отличаться, но это не должно повлиять на добавление его в Domino Directory. Вы можете нажать на кнопку со стрелкой вниз справа от поля и открыть Domino Directory (любые директории, известные вашему клиенту) для поиска имен и выбора нужного имени.
- Send a notification e-mail to the requestor (Посылать по почте уведомление отправителю): No. Этот параметр позволяет вам указать, что отправителю запроса нужно автоматически посылать электронное сообщение. Этот параметр установлен по умолчанию, если он был выбран в профиле СА. Обратите внимание, что пользователей нужно предупредить о том, что, даже если их запрос одобрен, прежде чем сертификат будет добавлен в Domino Directory и прежде чем он будет доведен до всех реплик, должно пройти какое-то время.
- Reason (Причина): <>. Если по какой-то причине администратор отклоняет запрос, он может заполнить данное поле. Это значение сохранится в запросе для последующих обращений и будет включено в почтовое сообщение, направляемое отправителю запроса.
- Остаются следующие поля:
Если вы одобряете запрос, нажмите Approve (Одобрить) в разделе Actions (Действия). Чтобы отклонить запрос, нажмите кнопку Deny (Отклонить) в разделе Deny (Отклонение). Прежде чем отклонять сообщение, опишите причину в поле Reason (Причина). Успешность добавления сертификата можно проверить по закладке Internet Certificates (Интернет-сертификаты) документа Person отправителя запроса в Domino Directory, либо просмотрев эту запись утилитой ldapsearch, либо найдя запрос в базе данных Administration Requests, как описано в разделе "Шаг 2: одобрение запроса на получение клиентского сертификата в Domino CA".
На этом завершается регистрация клиентского сертификата.