SICHERHEIT

Domino-Zertifizierungsstellen verwalten
Das Verwalten eines IBM® Domino-Zertifizierers beinhaltet eine Reihe von Tasks. Wenn Sie einen Zertifizierer implementieren, der den CA-Prozess verwendet, können Sie die Bestätigung und Ablehnung von IBM Notes- und Internetzertifikatsanforderungen an andere Administratoren delegieren, von denen jeder als Registrierungsstelle fungiert. Viele der in früheren Versionen von Domino manuellen Tasks, die beim Verwalten einer Zertifizierungsstelle erforderlich sind, sind automatisiert, wenn der CA-Prozess verwendet wird.

Tasks des Domino-CA-Administrators

Der CA-Administrator muss mindestens über Editorzugriff auf das Domino-Master-Verzeichnis der Domäne verfügen.

Es ist empfehlenswert, mindestens zwei CA-Administratoren für jeden Zertifizierer zu bestimmen. Sollte einer von ihnen die Organisation verlassen, kann der andere die Arbeit übernehmen.

Anmerkung: Standardmäßig wird der Administrator, der einen Zertifizierer erstellt, automatisch sowohl als CA- als auch als RA-Administrator für diesen Zertifizierer bestimmt. Wenn Sie zusätzliche CA-Administratoren erstellen, muss ihnen die RA-Rolle zugewiesen werden, um eine Zertifikatsanforderung bestätigen oder ablehnen zu können.

Der Domino-CA-Administrator ist für die folgenden Tasks verantwortlich:


Tasks des Domino-RA-Administrators

Ein RA-Administrator bestätigt Notes- oder Internetzertifikatsanforderungen oder lehnt sie ab und widerruft ggf. Internetzertifikate. Obwohl ein CA-Administrator auch die Funktion einer Registrierungsstelle ausüben kann, liegt der größte Vorteil einer separaten RA-Rolle darin, dass diese Tasks dem Domino- und/oder CA-Administrator abgenommen werden. Außerdem kann der Domino-Administrator für jeden für den CA-Prozess aktivierten Zertifizierer eine oder mehrere Registrierungsstellen einrichten.

Eine Registrierungsstelle sollte nur die Anforderungen bestätigen, die vom Zertifizierer angenommen werden. In den CA-Konfigurations- und Zertifikat-Profildokumenten, die in der ICL-Datenbank (ICL = Liste der ausgestellten Zertifikate) der CA gespeichert sind, wird beschrieben, was als akzeptabel gilt. Außerdem wird zusammen mit dem Zertifiziererdokument eine aktuelle gültige Kopie des Dokuments als Anhang gespeichert.

Domino-Administratoren, die Notes-Benutzer registrieren, sollten für den Notes-Zertifizierer ebenfalls als RAs gelistet sein, sodass für das Ausstellen eines Zertifikats durch den Zertifizierer weniger Schritte erforderlich sind.

Wenn Sie den Web-Administrator-Client verwenden, müssen Sie eine serverbasierte CA einrichten, um Notes-Benutzer zu registrieren. Der Web-Administrator und der Server, auf dem sich die Datenbank "Web Administrator" befindet, müssen als RA für diesen Zertifizierer aufgeführt sein.

Der Domino-RA-Administrator ist für die folgenden Tasks verantwortlich:


Anmerkung: Wenn Registrierungsstellen Benutzer registrieren sollen, müssen sie mindestens über Autorenzugriff auf das Domino-Master-Verzeichnis der Domäne verfügen, wobei die Berechtigung zum Erstellen von Dokumenten aktiviert und die Rolle "UserCreator" zugewiesen sein muss. Diese Einstellungen entsprechen den Zugriffsrechten, die Domino-Administratoren für die Registrierung von Notes-Benutzern benötigen.

Zugehörige Konzepte
Serverbasierte Zertifizierungsstellen in Domino
Übersicht über die Domino-Sicherheit
Benutzerregistrierung
Administrationsanforderungen