Domino涉及到SSL证书的几点总结

服务器证书的申请过程知识点

1)        服务器证书可以通过certsvr.nsf创建，不一定要新建服务器。

——此数据库可以通过csrv50.ntf为模板创建

2)        服务器证书在生成出来后，是一个秘钥对，一个公钥一个私钥。

3)        服务器证书生成之后，根证书已经包含了大部分的国际认证的根证书。

——可以通过“View And Edit Rings”视图，点击按钮“select key ring to display”

4)        根证书可以是自己签发的，也可以是从其他途径获得过来的，这个是公开的。

5)        根证书可以手工合并到服务器证书，通过“Install Tusted Root Certificate into Key Ring”合并。

6)        服务器证书如果想得到CA的认可，必须要请求别人认证你，过程是：生成一个请求串，发给CA中心，CA中心签发。然后把CA中心请求的文件通过“intall Certificate to Key Ring”合并到服务器证书，这时，浏览器访问的时候，才认为你的服务器是合法的。

7)        自建CA根证书和官方的根证书区别：

                        i.             自建根证书：需要在服务器证书里面合并加入；在web端，也需要将根证书安装在受信任的目录中。

                      ii.             官方根证书，服务器端在生成服务器证书的时候就已经包含了；在web端，证书管理里面也有自带的常用的官方的CA证书，所以无需重复安装。

8)         

服务器证书和个人证书的关系

1)        服务器证书和个人证书其实没什么关系。

2)        服务器证书是用来向浏览器证明自己的身份的。

3)        个人证书是用来访问服务器，给服务器证明身份，加密数据的。

4)        Domino个人证书也是和服务器证书几乎一样的步骤生成的。

a)        通过申请，填写基本信息，生成一串请求文件；

b)        Domino通过CA根证书进行签发。

c)        从Web客户端将已经签发好的个人证书，提取出来安装。

d)        另外domino还保存每个个人的证书信息，并将CA根证书加入到个人信息中。

 

服务器证书和其他格式的转换问题

1)        服务器证书kyr格式可以用ikeyman.exe打开。但是不能用IBM HTTP Server自带的，和Domino自带的Ikeyman。因为这个两个的版本太高了。要重新下载ikeyman.exe

2)        用ikeyman打开，可以导出为P12格式的。

3)        P12格式的可以有XCA把公钥和私钥分开。

4)        Ikeyman打开k12后，可以导入其他的pfx格式文件——但是我导入的时候都是出错的。

5)        证书个时间的转换：PEM、DER、CER、PFX、P12都是可以通过OpenSSL来转换的。

6)        OpenSSL下载之后，到安装目录里面打开Openssl.exe，按照命令运行即可。