1.配置验证字权威数据库
在notes客户端新建数据库,勾选“显示高级模板”,选择模板“domino certificate authority (6)”,建立“验证字权威数据库”,具体配置如下图所示:
2.创建验证字权威密钥文件和证书
(1) 在“oa安装路径\Domino\”下面新建文件夹certca。例如,oa安装路径为“D:\Domino(oasys)\Lotus\Domino”,则新建文件夹路径为“D:\Domino(oasys)\Lotus\Domino\certca”。该文件夹用来存放创建的验证字文件。
(2) 在notes客户端的工作台上打开刚才创建的“验证字权威数据库”,选择左边操作选项中的第一项“certificate authority configuration”,然后点击右边选项中的第一个“create certificate authority king ring &certificate”。
(3) 在打开的页面中,配置相关参数:
Key ring filr name :oa安装路径\Domino\certca\CAKey.kyr
King ring password :123456
Password verify :123456
Common name :jgzd CA
Organization :jgzd
City or localrity :hangzhou (可选)
State or province :zhejiang
Country :CN
其他参数保留默认设置即可。
如下图所示:
填写好参数以后,点击最下面的按钮“create certificate authority key ring”来创建权威验证字密钥文件,出现一个窗口显示验证字权威的信息,点击"确定"按钮。
3.配置验证字权威简要表
(1)在notes客户端的工作台上“验证字权威数据库”,选择左边操作选项中的第一项“certificate authority configuration”,然后点击右边选项中的第二个“configure certificate authority profile”。
(2)参数配置
Ca key file : oa安装路径\cerca\CAKey.kyr
Certificate server DNS name :oaserver
Certificate server port number :80
Mail confirmation of signed certificate to reportor :不要勾选
如下图所示,其他保留默认配置即可。
参数设置完成以后,点击最下面的按钮“save & close”。
4.创建CA服务器密钥文件和证书
(1)在notes客户端的工作台上“验证字权威数据库”,选择左边操作选项中的第一项“certificate authority configuration”,然后点击右边选项中的第三个“create server king ring & certificate”。
(2)参数设置
King ring file name :OA安装路径\certca\keyfile.kyr
King ring password : 123456
Password verity :123456
Ca certificatr lable :jgzd CA
Common name :www.ydsoft.net (说明:此处设置访问OA的域名,在没有域名的OA中设置为www.ydsoft.net即可。)
Organization :jgzd
City or localrity :hangzhou (可选)
State or province :zhejiang
Country :CN
参数填写完成以后点击最下面的按钮来创建创建服务器密钥文件,输入验证字权威密钥文件的口令,点击"确定"按钮。
5.配置服务器文档
(1)在notes客户端的工作台上打开names.nsf数据库,选择左边的“配置-服务器-所有服务器文档”,双击打开右面显示的服务器文档。选择“端口-internet端口”,进入编辑状态,参数设置如下:
SSL密钥文件名称: keyfile.kyr
(注意:此处请先拷贝OA安装路径\certca下的keyfile.kyr和keyfile.sth文件到OA安装路径\Domino\data目录下,因为这里只能填写相对路径,不接受绝对路径,所以要把那两个文件先拷贝到服务器的data目录下面。)
接受SSL站点验证字:是
接受到期的SSL站点验证字:否
下面的“web 端口”标签中,
SSL端口状态:启用
客户端验证字:是 (利用个人的数字证书登陆,这里必须选择为“是”)
姓名和口令:是 (这里如果选择为“否”,则在经过客户端验证字验证以后,不在需要输入用户名和口令即登陆到OA;如果选择为“是”,则如果客户端验证失败以后,还可使用用户名和口令的方法登陆OA,注意,如果客户端验证成功,则不会再验证用户名和口令。)
匿名:是 (也可选择否,选择否的时候,匿名登陆不经过ssl验证)
如下图所示:
(2)设置完成以后点击“保存并关闭”,在domino服务器窗口中执行restart server来重启OA服务器。
6.为用户向CA服务器申请证书
(1)首先取得根证书,是浏览器信任该验证字权威。这个证书是所有以后使用“https”访问OA站点的时候,浏览器将个人用户的数字证书与该根证书进行验证的基础。也就是说,如果浏览器里面没有安装该证书,则个人用户的数字证书会被认为不受浏览器信任的个人证书。
启动浏览器,在URL输入http://servername/certca.nsf,(注意,现在还是在用“http”而不是“https”访问,因为证书还没取得。)其中servername是您的oa服务器的名称。左边点击"在您的浏览器中接受该权威",右边的窗口中点击"在您的浏览器中接受该权威",然后会出现提示框,点击保存到本地,然后将该安全证书倒入到你的浏览器,操作如下:
点击“安装证书,”然后点击“下一步”,选择“根据证书类型,自动选择证书存储区”,然后选择“下一步”,直到系统提示“倒入成功”。
可以在浏览器中查看该证书,打开浏览器,在“工具-internet选项”中,进入“内容”标签,如下图所示,点击“证书”,
然后在弹出的对话框中,查看“受信任的证书颁发机构”,可以查看到刚才倒入的CAout安全证书,如下图所示,
(2)个人用户提交请求获取个人数字证书。
首先,启动浏览器,在URL输入http://servername/certca.nsf,(注意,现在还是在用“http”而不是“https”访问,因为证书还没取得。)其中servername是您的oa服务器的名称。左边点击"请求客户端证书",右边的窗口中输入证书信息,联系人信息,加密长度选择512,点击"提交证书请求"按钮,如下图示例:
填写好以后提交。
然后,在notes客户端打开验证字权威数据库,左边选择第三项“客户端验证请求”,右边会出现刚才提交的申请,打开,选择在公共通讯录中注册证书,下面填写公共通讯录中的名字,(注意这里填写的名字,就是以后数字证书登陆以后的用户。)记住提取ID,点击“approve”,如下图示例:
最后,提取客户端证书。在浏览器上http://servername/certca.nsf中点击“Pick Up Client Certificate”,输入刚才记下的ID,得到证书,接受证书,提示成功,则个人数字证书已倒入浏览器,查看如下:
如果您使用的是第三方的CA,还要在左边点击"注册客户端证书"。
7.利用个人数字证书登陆oa
完成上面的步骤以后,就可以使用“https”来访问您的OA站点了。
