SICHERHEIT

So können Benutzer vertrauenswürdige Zertifikate manuell beziehen
Die Kopie des CA-Zertifikats wird Wurzelinstanzzertifikat genannt. Nach Erhalt des Wurzelinstanzzertifikats und, falls Sie einen Notes-Client verwenden, eines Internetgegenzertifikats für das Wurzelzertifikat, erkennt der Client die CA und alle von dieser CA ausgestellten Zertifikate als vertrauenswürdig an. Wenn Sie die Serverauthentifizierung für einen Internet-Client einrichten, fügen Sie diese Wurzelinstanz in eine lokale Datei ein. Wenn Sie die Serverauthentifizierung für einen Notes-Client einrichten, fügen Sie diese Wurzelinstanz einem Domino-Verzeichnis hinzu, auf das die Benutzer zugreifen können, um ein Gegenzertifikat in der Anwendung "Kontakte" zu generieren.

Warum und wann dieser Vorgang ausgeführt wird

Notes-Clients können auch ein Wurzelinstanzzertifikat und ein Gegenzertifikat abrufen, um Zugang zum Server zu erhalten. Durch das Hinzufügen des Wurzelinstanzzertifikats zum Domino-Verzeichnis wird jedoch die Einrichtung der Serverauthentifizierung für die Benutzer vereinfacht.

Es wird empfohlen, vertrauenswürdige Zertifikate im Push-Verfahren an die Anwendung "Kontakte" der Notes-Clients zu übertragen und sie nicht von den Benutzern selbst abrufen zu lassen.

Anmerkung: Benutzer können Zertifikate auch automatisch annehmen, ohne Wurzelinstanz- oder Gegenzertifikate abrufen zu müssen. Aktivieren Sie dazu im Arbeitsumgebungsdokument für den Notes-Client die Option SSL-Sitezertifikate annehmen. Das Annehmen von Zertifikaten, die von unbekannten Servern stammen, stellt jedoch ein Sicherheitsrisiko dar. Wenn Benutzer die Quelle der Zertifikate nicht kennen, besteht die Gefahr, dass Zertifikate aus böswilligen Quellen angenommen werden.

So rufen Sie ein Wurzelinstanzzertifikat für einen Notes-Client ab

Prozedur

1. Stellen Sie sicher, dass Sie über ein Wurzelinstanzzertifikat für die CA verfügen. Wählen Sie in Domino Administrator den Eintrag Konfiguration -> Zertifikate -> Zertifikate aus und zeigen Sie die Kategorie "Internetzertifizierer" an.

2. Weisen Sie die Clients an, ein Internetgegenzertifikat über das Dialogfeld "Benutzersicherheit" abzurufen.

So erhalten Sie ein Wurzelinstanzzertifikat für einen Internet-Client

Warum und wann dieser Vorgang ausgeführt wird

Sie haben die Möglichkeit, ein Wurzelinstanzzertifikat für einen Internet-Client abzurufen. Wenn es sich um ein Wurzelinstanzzertifikat von einer Domino-CA handelt, gehen Sie mit einem Internet-Client wie folgt vor:

Prozedur

1. Navigieren Sie zur Anwendung "Domino Certificate Requests" oder "Certificate Authority".

2. Wählen Sie Accept This Authority In Your Browser aus.

Ergebnisse

Anmerkung: Wenn Sie über eine SSL-Verbindung zu der Anwendung navigieren, fordert Sie der Server auf, das Sitezertifikat anzunehmen. Bevor Sie das Zertifikat als Wurzelinstanz annehmen, sollten Sie die CA-Eigenschaften überprüfen, um sicherzustellen, dass das Zertifikat von einer vertrauenswürdigen Quelle stammt.

Wenn es sich um das Wurzelinstanzzertifikat einer Fremdanbieter-CA handelt, befolgt der Internet-Client die vorgegebene Vorgehensweise der Fremdanbieter-CA, um das Wurzelinstanzzertifikat für die CA aufzunehmen. Wenn sowohl der Client als auch der Server Zertifikate dieser CA besitzen oder bereits eine gemeinsame CA haben, ist dieser Schritt nicht erforderlich.

Zugehörige Tasks
Vertrauenswürdige Zertifikate im Push-Verfahren an Notes-Clients übertragen
Internetgegenzertifikat für eine CA erstellen