Выпуск взаимных сертификатов без передачи безопасных копий
Когда станция Notes версий 4.х обращается к серверу Notes версий 4.х, с которым у пользователя этой станции нет взаимного сертификата, однако у сервера или имеется взаимный сертификат для пользователя или его предка, а потому часть процедуры аутентификации на стороне сервера завершается успехом, или к серверу разрешен анонимный доступ, станция получает от сервера от сервера иерархический сертификат, содержащийся в его ID-файле, и предлагает пользователю выпустить взаимный сертификат.
Рис. 8.33 Диалоговое окно Cross Certify на станции
При этом пользователь получает диалоговое окно Cross Certify. Нажатие кнопки Yes влечет создание в локальной адресной книге станции взаимного сертификата от имени пользователя станции для сертификатора организации, которой принадлежит вызванный сервер. Нажатие кнопки No, очевидно, запрещает создавать взаимный сертификат. Наибольший интерес представляет кнопка Advanced Options. Нажав ее, вы получите уже знакомое диалоговое окно Cross Certify ID.
Рис. 8.34 Диалоговое окно Cross Certify ID на станции
Кнопкой Certifier администратор или сертификатор сможет выбрать тот ID-файл сертификатора, от имени которого считает нужным выпустить взаимный сертификат. Кнопкой Server можно выбрать сервер, в адресную книгу которого (естественно, при наличии доступа) этот сертификат будет помещен. В поле Subject name: можно выбрать имя, для которого выпускается взаимный сертификат - от имени сервера до имени его сертификатора организации. Можно и изменить срок действия сертификата...
Администратор сервера может пользоваться этой возможностью, запуская на компьютере сервера станцию, работающую под ID-файлом сервера, затем вызывая другой сервер, в адресной книге которого уже имеется взаимный сертификат для вызывающего сервера или его предка, и "на лету" выпуская взаимный сертификат на своей стороне.
Завершая главу, ответим на два вопроса.
· Что следует делать, если взаимный сертификат более не нужен? Его просто следует удалить из адресной книги.
· Могут ли в адресной книге одного домена одновременно присутствовать два или более дерева имен? Могут, и это типичная ситуация в только начинающих развиваться доменах, когда первое дерево имен было выбрано неудачно и происходит постепенный переход к более удачному дереву имен. Чтобы деревья имен "мирно уживались" в одной адресной книге, обычно выпускают взаимный сертификат от имени сертификатора первого дерева имен для сертификатора второго дерева имен, а затем взаимный сертификат от имени сертификатора второго дерева имен для сертификатора первого дерева имен. В этом случае оба "зеркально симметричных" взаимных сертификата находятся в одной адресной книге. Однако пользователям из одного дерева имен приходится скопировать из общей адресной книги в свою персональную взаимный сертификат для сертификатора другого дерева имен. Только по этой причине и рекомендуется иметь в одном домене или организации одно дерево имен. Но рекомендация не означает запрета...
