Domino涉及到SSL证书的几点总结

服务器证书的申请过程知识点

1)        服务器证书可以通过certsvr.nsf创建,不一定要新建服务器。

——此数据库可以通过csrv50.ntf为模板创建

2)        服务器证书在生成出来后,是一个秘钥对,一个公钥一个私钥。

3)        服务器证书生成之后,根证书已经包含了大部分的国际认证的根证书。

——可以通过“View And Edit Rings”视图,点击按钮“select key ring to display”

4)        根证书可以是自己签发的,也可以是从其他途径获得过来的,这个是公开的。

5)        根证书可以手工合并到服务器证书,通过“Install Tusted Root Certificate into Key Ring”合并。

6)        服务器证书如果想得到CA的认可,必须要请求别人认证你,过程是:生成一个请求串,发给CA中心,CA中心签发。然后把CA中心请求的文件通过“intall Certificate to Key Ring”合并到服务器证书,这时,浏览器访问的时候,才认为你的服务器是合法的。

7)        自建CA根证书和官方的根证书区别:

                        i.             自建根证书:需要在服务器证书里面合并加入;在web端,也需要将根证书安装在受信任的目录中。

                      ii.             官方根证书,服务器端在生成服务器证书的时候就已经包含了;在web端,证书管理里面也有自带的常用的官方的CA证书,所以无需重复安装。

8)         

服务器证书和个人证书的关系

1)        服务器证书和个人证书其实没什么关系。

2)        服务器证书是用来向浏览器证明自己的身份的。

3)        个人证书是用来访问服务器,给服务器证明身份,加密数据的。

4)        Domino个人证书也是和服务器证书几乎一样的步骤生成的。

a)        通过申请,填写基本信息,生成一串请求文件;

b)        Domino通过CA根证书进行签发。

c)        从Web客户端将已经签发好的个人证书,提取出来安装。

d)        另外domino还保存每个个人的证书信息,并将CA根证书加入到个人信息中。

 

服务器证书和其他格式的转换问题

1)        服务器证书kyr格式可以用ikeyman.exe打开。但是不能用IBM HTTP Server自带的,和Domino自带的Ikeyman。因为这个两个的版本太高了。要重新下载ikeyman.exe

2)        用ikeyman打开,可以导出为P12格式的。

3)        P12格式的可以有XCA把公钥和私钥分开。

4)        Ikeyman打开k12后,可以导入其他的pfx格式文件——但是我导入的时候都是出错的。

5)        证书个时间的转换:PEM、DER、CER、PFX、P12都是可以通过OpenSSL来转换的。

6)        OpenSSL下载之后,到安装目录里面打开Openssl.exe,按照命令运行即可。

你可能感兴趣的:(Lotus,pfx,Domino,ps12,SSL,kyr)