Domino: Der Server-basierte Zertifikatsdienst

Die Grundkonfiguration

Um mit dem CA-Prozess arbeiten zu können, sind mehrere Schritte erforderlich:

  1. Der CA-Prozess muss gestartet werden. Dazu wird der entsprechende Task geladen. Der Status kann mit tell ca stat überprüft werden.

  2. Mindestens ein vorhandener Zertifizierer muss für den CA-Prozess migriert werden.

  3. Die zuständigen Administratoren müssen festgelegt werden.

Der erste Schritt ist einfach, da es sich um die normale Vorgehensweise beim Start eines Tasks handelt. Um den Zertifizierer zu migrieren, wird im Domino Administrator im Register Configuration bei Tools der Befehl Certification – Migrate Certifier verwendet. Dort muss zunächst über Select die Datei mit dem Zertifizierer gewählt werden. Standardmäßig ist das die Datei cert.id im Verzeichnis domino\data. Für diese Datei muss das Kennwort angegeben werden.

Bildunterschrift: Basisdaten: Um die Server-basierende CA nutzen zu können, müssen bestehende Zertifizierer zunächst migriert und die Administratoren definiert werden.
Bildunterschrift: Basisdaten: Um die Server-basierende CA nutzen zu können, müssen bestehende Zertifizierer zunächst migriert und die Administratoren definiert werden.

Im angezeigten Dialogfeld müssen zunächst der Server mit dem CA-Prozess und der Name der ICL-Datenbank angegeben werden. Die ICL-Datenbank wird standardmäßig mit einem automatisch generierten Dateinamen angelegt.

Darunter muss definiert werden, wie der Zertifizierer geschützt werden soll. Hier gibt es zwei Optionen. Die Verwendung der Server-ID bietet relativ wenig Schutz, solange ohne Kennwort gearbeitet wird. Bei Nutzung eines Kennworts ist das Problem aber, dass dieses wieder mehreren Personen bekannt sein muss. Besser ist eine Locking-ID, die an ein gegebenenfalls auch speziell für diesen Zweck erstelltes Benutzerkonto gekoppelt ist.

Im unteren Bereich können die Administratoren konfiguriert werden. CAAs (Certificate Authority Administrators) sollte es wenige geben. Diese dürfen grundlegende Einstellungen der CA anpassen. RAs (Registration Agents) kann es dagegen mehr geben, weil diese beim Anlegen von Benutzern die erforderlichen Zertifikate über die CAs anfordern dürfen.