Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

Zertifizierer für serverbasierte Zertifizierungsstellen erstellen
Sie können zusätzliche IBM® Notes- und Internetzertifizierer für Ihre Organisation erstellen und sie für die Verwendung des CA-Prozesses konfigurieren.

So erstellen Sie einen Notes-Zertifizierer

Warum und wann dieser Vorgang ausgeführt wird

Notes-Zertifizierer werden zuerst erstellt und anschließend auf den CA-Prozess migriert.

Prozedur

1. Registrieren Sie einen zusätzlichen Zertifizierer für die Organisation oder die Unterorganisation.

2. Migrieren Sie den Zertifizierer in den CA-Prozess.

So erstellen Sie einen Internetzertifizierer

Warum und wann dieser Vorgang ausgeführt wird

Internet-Zertifizierer werden mithilfe des CA-Prozesses erstellt und registriert.

Prozedur

1. Klicken Sie in IBM Domino Administrator auf Konfiguration.

2. Wählen Sie im Fenster Werkzeuge die Option Registrierung -> Internetzertifizierer aus.

3. Wählen Sie im Dialogfeld "Internetzertifizierer registrieren" die Option Ich möchte einen neuen Internetzertifizierer registrieren, der den CA-Prozess verwendet aus.

4. Klicken Sie im Dialogfeld "Neuen Internetzertifizierer registrieren" auf Allgemein.

5. Erstellen Sie den Namen des Zertifizierers. Geben Sie einen allgemeinen Namen und mindestens eine weitere Komponente an:

Allgemeiner Name - Geben Sie den Namen des Zertifizierers ein.
Unterorganisation (optional) - Geben Sie den Namen der Unterorganisation des Zertifizierers ein, sofern zutreffend.
Organisation (optional) - Geben Sie den Namen der Organisation des Zertifizierers ein.
Ort (optional) - Geben Sie den Standort der Organisation ein.
Bundesland (optional) - Geben Sie den vollständigen Namen des Bundeslands ein, in dem sich die Organisation befindet.
Land (optional) - Geben Sie die Abkürzung für das Land ein, in dem sich die Organisation befindet.

6. Wählen Sie den Server aus, auf dem der CA-Prozess läuft. Dies ist derselbe Server, auf dem die ICL-Datenbank erstellt wird.

7. Optional: Ändern Sie den vorgegebenen Namen der ICL-Datenbank (Beispiel: icl\icl_Renovations.nsf).

Anmerkung:

Es wird empfohlen, die vorgegebene Verzeichnisstruktur zu verwenden.

8. Wählen Sie für Zertifizierer-ID verschlüsseln mit eine der folgenden Optionen aus:

Tabelle 1. Optionen für die Verschlüsselung der Zertifizierer-ID

Option	Sicherheitsstufe	Erforderliches Kennwort	Erforderliche Aktion
Zertifizierer-ID verschlüsseln mit Server-ID	Niedrigste	Keine	Keine
Zum Aktivieren Kennwort erforderlich	Mittel	Server-ID-Kennwort	Wenn Sie ein Kennwort verwenden, müssen Sie den Zertifizierer aktivieren. Verwenden Sie den Befehl tell: `tell ca activate` `Kennwort`
Zertifizierer-ID verschlüsseln mit Sperr-ID	Höchste	ID und Kennwort des registrierten Benutzers	Wenn Sie die Zertifizierer-ID mit einer Sperr-ID verschlüsseln möchten, wird der Zertifizierer gesperrt, bis Sie die ID entsperren. Verwenden Sie den Befehl tell: `tell ca unlockID-DateiKennwort`

Anmerkung: Durch das Verschlüsseln einer Zertifizierer-ID mit der kennwortgeschützten Server-ID wird nur dieser Zertifizierer geschützt. Wenn Sie eine Sperr-ID verwenden, besteht die Möglichkeit, sie für mehrere Zertifizierer zu verwenden. In diesem Fall müssen Sie diese Zertifizierer zur gleichen Zeit sperren und entsperren.

9. Optional: Geben Sie in der Liste Administratoren die Namen weiterer CA- und RA-Administratoren ein. Der Name des Administrators, der die CA erstellt, wird automatisch sowohl als CA- als auch als RA-Administrator in die Liste aufgenommen.

10. Füllen Sie im Register Zertifikate die folgenden Felder aus:

Tabelle 2. Auszufüllende Felder im Register

Zertifikate

Feld	Aktion
Erweiterung für CRL-Verteilerstelle aufnehmen	Aktivieren Sie ein Attribut, das den Speicherort der Zertifizierer-CRL angibt. Es wird empfohlen, diese Option zu verwenden, damit Sie bereits ausgestellte Zertifikate widerrufen können. Diese Option ist standardmäßig aktiviert.
Gültigkeit des Zertifikats zurückdatieren	Der Gültigkeitszeitraum des Zertifikats entspricht dem Zeitraum, für den die CA gewährleistet, dass sie Informationen über den Status des Zertifikats bereithält. Falls der Tag, ab dem das Zertifikat gültig ist, nicht mit dem Tag der Erstellung übereinstimmt, können Sie den Gültigkeitszeitraum des Zertifikats auf ein früheres Datum zurückdatieren. Diese Option ist standardmäßig aktiviert. Sie können kein Datum eingeben.
Gültigkeitsdauer des Zertifikats	Geben Sie für die Gültigkeitsdauer des Zertifikats die Standard-, Mindest- und Höchstdauer in Monaten ein.
Schlüsselnutzung	Wählen Sie die Schlüsselnutzungserweiterungen für dieses Zertifikat.

Anmerkung: Der einzige Zertifikatstyp, den Sie erstellen können, ist ein EE-Zertifikat. Diese Option ist standardmäßig aktiviert. Das bedeutet, dass sich von diesem Zertifizierer ausgestellte Internetzertifikate auf Benutzer von Zertifikaten und/oder Endbenutzer-Systeme beziehen, die Zertifikatsobjekte sind.

11. Klicken Sie auf Verschiedenes und anschließend auf Lokale Kopie der Zertifizierer-ID erstellen. Geben Sie den Dateinamen und das Kennwort der Zertifizierer-ID an und klicken Sie auf OK. Eine Kopie der Zertifizierer-ID wird unter dem Standardpfad ...\notes\data\ids\certs\cert.id gespeichert. Sie können auch einen anderen Pfad auswählen. Verwenden Sie diese lokale Kopie der Zertifizierer-ID als Backup für die Wiederherstellung des Zertifizierers, falls dieser beschädigt wird.

12. Füllen Sie die folgenden Felder aus, um Informationen zur Zertifikatswiderrufliste für diesen Zertifizierer anzugeben:

Tabelle 3. Felder der

Zertifikatswiderrufsliste

Feld	Aktion
Gültigkeitsdauer der CRL (in Tagen)	Geben Sie die Dauer in Tagen ein, für die eine bestimmte CRL Gültigkeit besitzt. Dieser Zeitraum sollte nach Möglichkeit größer sein als der Zeitraum zwischen der Ausgabe von CRLs, da dadurch sichergestellt wird, dass die CRL stets gültig ist.
Zeit zwischen CRLs (in Tagen)	Geben Sie das Zeitintervall in Tagen zwischen der Ausgabe von CRLs ein.

13. Füllen Sie die folgenden Felder aus, um Informationen zu Schlüssel und Zertifizierer-Zertifikat für diesen Zertifizierer anzugeben:

Tabelle 4. Felder für

Schlüssel und Zertifizierer-Zertifikat

Feld	Aktion
Signieralgorithmus	Wählen Sie den für die Verschlüsselung der Zertifikatssignatur verwendeten Algorithmus aus.
Schlüssellänge	Geben Sie die für die Verschlüsselung zu verwendende Schlüssellänge ein. Diese Einstellung legt die Anzahl der Bits fest, die benötigt werden, um alle potenziellen Werte eines Verschlüsselungsschlüssels darstellen zu können. Je länger die Schlüssellänge, desto schwieriger ist es, verschlüsselten Text zu entschlüsseln.
Zertifikat läuft ab am	(Optional) Ändern Sie das vorgegebene Ablaufdatum des Zertifikats.

14. Füllen Sie die folgenden Felder aus, um die Informationen für Alternative PKIX-Namen des Zertifizierers für diesen Zertifizierer anzugeben:

Tabelle 5. Informationsfelder für

Alternative PKIX-Namen des Zertifizierers

Feld	Aktion
Typ	Geben Sie den gewünschten Typ des alternativen Namens ein.
Wert	Geben Sie den gewünschten alternativen Namen ein.

Anmerkung: Ein alternativer PKIX-Name ist nicht dasselbe wie ein alternativer Notes-Name. Der alternative Notes-Name ist die fremdsprachliche Version eines Benutzernamens.

15. Klicken Sie auf OK.

Ergebnisse

Es wird eine Nachricht angezeigt, die Sie darüber informiert, dass eine Zertifizierungsstelle erfolgreich erstellt wurde.

Nächste Maßnahme

Führen Sie die folgenden Schritte aus:

Zugehörige Konzepte
Domino-Zertifizierungsstellen verwalten
Serverbasierte Zertifizierungsstellen in Domino

Zugehörige Tasks
Zusätzliche Zertifizierer-ID für die Organisation erstellen
Zertifizierer-ID für Unterorganisation erstellen
Zertifizierer in den CA-Prozess migrieren
Serverbasierte Zertifizierungsstelle in Domino einrichten

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe