Domino服务器SSL证书安装指南
字数 1576 2025-08-12 11:34:05

Domino服务器SSL证书安装指南

一、获取SSL证书

1.1 创建密钥环文件

Domino服务器部署不支持导入外部或第三方生成的私钥文件,必须在Domino服务器上创建私钥文件。

操作步骤:

  1. 打开Lotus Domino管理客户端
  2. 选择"文件"→"应用程序"→"打开"
  3. 选择"服务器证书管理"应用程序(certsrv.nsf)
  4. 点击"Create Key Ring"
  5. 填写服务器密钥环信息:
    • Key Ring文件名
    • 密码(需妥善保管)
    • 确认密码
    • 密钥长度(建议2048位)
    • 其他相关信息
  6. 点击页面最下方的"Create Key Ring"按钮
  7. 在弹出的确认窗口中点击"确定"

1.2 创建CSR文件

操作步骤:

  1. 在证书管理应用程序中点击"Create Certificate Request"
  2. 选择之前创建的密钥环文件
  3. 在Method选项中选择"Paste into from on CA's site"
  4. 点击"Create Certificate Request"
  5. 输入密钥环密码
  6. 复制生成的CSR内容
  7. 将CSR提交到沃通(WoSign)或其他CA的证书申请界面

二、安装SSL证书

2.1 获取SSL证书

  1. 从CA(如沃通)下载证书文件
  2. 解压下载的domain.com_sha256.zip压缩包
  3. 解压后得到三个子压缩包:
    • for Nginx.zip
    • for Apache.zip
    • for Other Server.zip
  4. Domino服务器需要使用for Other Server.zip中的证书
  5. 解压for Other Server.zip,得到以下文件:
    • domain.com.crt (用户证书)
    • issuer.crt (中间证书)
    • cross.crt (交叉证书)
    • root.crt (根证书)

2.2 导入SSL证书

导入顺序非常重要,必须按照以下顺序导入:

  1. 点击"Install Trusted Root Certificate Into Key Ring"
  2. 按顺序导入证书:
    • 首先导入root.crt
    • 然后导入cross.crt
    • 最后导入issuer.crt
  3. 导入方式可选择:
    • 选择文件方式
    • 粘贴内容方式
  4. 每次导入都需要输入密钥环密码
  5. 点击"Install Certificate Into Key Ring"
  6. 导入用户证书公钥domain.com.crt文件
  7. 导入过程中同样需要输入密钥环密码

三、配置SSL证书

  1. 将导入证书后的密钥环文件复制到服务器数据目录下:
    • 默认路径:IBM/[Lotus]/Notes/Data
    • 密钥环文件包括:
      • keyfile.kyr
      • keyfile.sth
  2. 打开服务器配置文档
  3. 选择"端口"→"Internet端口"选项卡
  4. 选择密钥环文件进行配置
  5. 确保SSL端口(默认443)已启用
  6. 保存配置更改

四、测试SSL访问

  1. 打开浏览器
  2. 输入https://yourdomain.com(使用证书绑定的实际域名)
  3. 检查浏览器地址栏:
    • 显示加密小锁图标:表示证书配置成功
    • 显示无法连接:检查以下内容:
      • 防火墙或安全组策略是否放行443端口
      • 服务器是否重启以使配置生效
      • 证书是否已正确安装

五、备份SSL证书

重要提示: 必须做好以下备份工作:

  1. 备份下载的.zip压缩包原始文件
  2. 备份自主生成的私钥.key文件
  3. 建议备份密钥环文件(keyfile.kyr和keyfile.sth)
  4. 将备份文件存储在安全的位置
  5. 考虑使用加密存储或密码管理器保管密码

注意事项

  1. 密钥环密码必须妥善保管,一旦丢失将无法恢复
  2. 证书导入顺序必须严格遵守:root→cross→issuer→user
  3. 确保服务器时间正确,否则可能导致证书验证失败
  4. 证书到期前需及时续期并重新安装
  5. 修改配置后可能需要重启Domino服务使更改生效
Domino服务器SSL证书安装指南 一、获取SSL证书 1.1 创建密钥环文件 Domino服务器部署不支持导入外部或第三方生成的私钥文件,必须在Domino服务器上创建私钥文件。 操作步骤: 打开Lotus Domino管理客户端 选择"文件"→"应用程序"→"打开" 选择"服务器证书管理"应用程序(certsrv.nsf) 点击"Create Key Ring" 填写服务器密钥环信息: Key Ring文件名 密码(需妥善保管) 确认密码 密钥长度(建议2048位) 其他相关信息 点击页面最下方的"Create Key Ring"按钮 在弹出的确认窗口中点击"确定" 1.2 创建CSR文件 操作步骤: 在证书管理应用程序中点击"Create Certificate Request" 选择之前创建的密钥环文件 在Method选项中选择"Paste into from on CA's site" 点击"Create Certificate Request" 输入密钥环密码 复制生成的CSR内容 将CSR提交到沃通(WoSign)或其他CA的证书申请界面 二、安装SSL证书 2.1 获取SSL证书 从CA(如沃通)下载证书文件 解压下载的domain.com_ sha256.zip压缩包 解压后得到三个子压缩包: for Nginx.zip for Apache.zip for Other Server.zip Domino服务器需要使用for Other Server.zip中的证书 解压for Other Server.zip,得到以下文件: domain.com.crt (用户证书) issuer.crt (中间证书) cross.crt (交叉证书) root.crt (根证书) 2.2 导入SSL证书 导入顺序非常重要 ,必须按照以下顺序导入: 点击"Install Trusted Root Certificate Into Key Ring" 按顺序导入证书: 首先导入root.crt 然后导入cross.crt 最后导入issuer.crt 导入方式可选择: 选择文件方式 粘贴内容方式 每次导入都需要输入密钥环密码 点击"Install Certificate Into Key Ring" 导入用户证书公钥domain.com.crt文件 导入过程中同样需要输入密钥环密码 三、配置SSL证书 将导入证书后的密钥环文件复制到服务器数据目录下: 默认路径:IBM/[ Lotus ]/Notes/Data 密钥环文件包括: keyfile.kyr keyfile.sth 打开服务器配置文档 选择"端口"→"Internet端口"选项卡 选择密钥环文件进行配置 确保SSL端口(默认443)已启用 保存配置更改 四、测试SSL访问 打开浏览器 输入https://yourdomain.com(使用证书绑定的实际域名) 检查浏览器地址栏: 显示加密小锁图标:表示证书配置成功 显示无法连接:检查以下内容: 防火墙或安全组策略是否放行443端口 服务器是否重启以使配置生效 证书是否已正确安装 五、备份SSL证书 重要提示: 必须做好以下备份工作: 备份下载的.zip压缩包原始文件 备份自主生成的私钥.key文件 建议备份密钥环文件(keyfile.kyr和keyfile.sth) 将备份文件存储在安全的位置 考虑使用加密存储或密码管理器保管密码 注意事项 密钥环密码必须妥善保管,一旦丢失将无法恢复 证书导入顺序必须严格遵守:root→cross→issuer→user 确保服务器时间正确,否则可能导致证书验证失败 证书到期前需及时续期并重新安装 修改配置后可能需要重启Domino服务使更改生效