インターネットクライアント証明書に署名して Domino ディレクトリに追加する

CA でインターネットクライアント証明書に署名するときは、デジタル署名が追加されます。Domino® の CA を使用する場合は、Domino ディレクトリにパブリックキーが追加されます。サードパーティ CA を使用する場合は、Domino ディレクトリにパブリックキーを追加する別の手順を完了しなければなりません。

このタスクについて

Notes® クライアントを使用する場合や、Domino ディレクトリのユーザー文書で CA により発行された証明書を使用する場合は、この手順は不要です。ユーザーがサーバーに認証されると、Notes では、ユーザー文書に保存されたインターネット証明書が自動的に Notes ID ファイルに追加されます。

インターネットクライアント証明書に署名して Domino ディレクトリに追加する手順は、サーバーベースの Domino 認証機関、Domino 5 認証機関、サードパーティ CA のいずれが証明書を発行したかによって異なります。

クライアント証明書を承認して署名する前に、次の事柄を確認してください。

  • 証明書への署名に関する組織のポリシーを理解しておいてください。認証要求が組織のセキュリティポリシーに従っている場合は、クライアント証明書に署名します。
  • サーバーでシステム管理プロセスを設定してあることを確認します。インターネットクライアント用の証明書に署名する場合は、ユーザー文書を作成してあることを確認します。

Domino サーバーベース認証機関

このタスクについて

この手順は Domino CA で完了します。クライアント証明書を承認して署名するには、登録機関 (RA) でなければなりません。

手順

  1. Domino Administrator から、[ファイル] タブをクリックし、Domino 認証要求アプリケーションを開きます。
  2. 認証要求をシステム管理要求データベースに転送します。
    1. Certificate Requests データベースで、[Pending/Submitted Requests] ビューを開きます。クライアント要求が表示されていない場合は、[F9] キーを押してビューを更新します。
    2. 該当する要求は「システム管理プロセスに送信済み」という旨がビューに表示されたら、次の手順に進みます。要求がまだ保留状態にある場合は、その要求をハイライト表示し、[Submit Selected Requests] をクリックします。
    3. 「Successfully submitted 1 request(s) to the Administration Process」というメッセージが表示されます。[OK] をクリックします。
  3. 要求を承認または拒否します。
    1. システム管理要求データベース (ADMIN4.NSF)、[認証機関の要求/認証要求] ビューの順に開き、新しいクライアント要求を探します。
    2. 該当する要求を開き、その情報を確認します。
    3. [要求の編集] をクリックした後、[要求の承認] または [要求の拒否] をクリックします。[F9] キーを押し、要求の状態が [新規] から [承認] (または [拒否]) に変わることを確認します。
  4. 認証要求をシステム管理要求データベースから転送します。
    1. システム管理要求データベースを閉じ、Certificate Requests データベースに戻ります。
    2. [Issued/Rejected Certificates] ビューを開き、該当するクライアント要求を探します (ビューの更新が必要な場合もあります)。
  5. クライアント証明書を要求したユーザーに通知します。
    1. クライアント要求の完了時に確認メールを送信するオプションを有効にしてあると、証明書を受け取るよう CA が要求者に自動的に通知します。拒否された場合は、要求が拒否されたことを示す電子メールが要求者に送信されます。
    2. クライアント要求の完了時に確認メールを送信するオプションを有効にしていない場合、結果を要求者に通知するには、[Send Confirmation Mail] をクリックする必要があります。

タスクの結果

注: Certificate Requests データベースで要求の自動処理が有効になっていると、クライアント要求は、システム管理要求データベースに自動的に送信されます。登録機関は、その要求に対する承認または拒否だけを実行します。

Domino 5 認証機関

このタスクについて

インターネット認証要求は Domino 認証機関アプリケーションの [クライアント認証要求] ビューに表示されます。CA で証明書に署名したとき、クライアントに電子メールを自動的に送信できます。この電子メールには、証明書を受け取る場所と受け取り用 ID が書かれています。受け取り用 ID は、証明書を受け取る際の確認に使用します。受け取り用 ID は Domino で自動的に生成されます。

注: 次の手順は、Domino CA で発行するクライアント証明書への署名に当てはまります。この手順は Domino CA で完了します。

手順

  1. Domino Administrator から、[ファイル] タブをクリックし、Domino 認証機関アプリケーションを開きます。
  2. [クライアント認証要求] をクリックします。
  3. 署名する認証要求を開きます。
  4. ユーザー情報と識別名を確認します。表示された情報が自分の組織のセキュリティポリシーに従っていることを確認します。
  5. クライアントのパブリックキーをユーザー文書に自動的に追加するには、オプション [Domino ディレクトリに証明書を登録してください。] を選択したままにします。

    要求を拒否する場合は、手順 6 へ進んでください。承認する場合は、手順 7 へ進みます。

  6. 認証要求を拒否する場合は、次のようにします。
    1. 要求を拒否する理由を入力します。
    2. そのユーザーメールを送信したくない場合は、[要求者に通知メールを送信する] を選択解除にします。そうしないと、Domino 認証機関アプリケーションから、要求が拒否されたことと、その理由を示すメールがそのユーザーに送信されます。
    3. [拒否] をクリックします。
  7. 認証要求を承認する場合は、次のようにします。
    1. 有効期間を入力します。短期プロジェクトの場合は、90 日が一般的です。進行中のプロジェクトの場合は、数年間の有効期間を入力します。
    2. 証明書を受け取ることができることを示す電子メールをクライアントに送信したくない場合は、[要求者に通知メールを送信する] の選択を解除します。この選択を解除しないと、Domino 認証機関アプリケーションによって証明書を受け取る場所を示す URL が電子メールでクライアントに通知されます。
    3. [承認] をクリックし、CA キーリングファイルのパスワードを入力します。これによって、要求はシステム管理要求データベースに保存されます。次にシステム管理プロセスが実行されたときに、要求が処理され、Domino ディレクトリにあるクライアントのユーザー文書に証明書が追加されます。
      注: システム管理プロセスが認証要求処理を完了しないと、この証明書をクライアントで使用してデータベースのアクセス制御リストに対して認証することはできません。

サードパーティ CA

このタスクについて

ユーザーが Notes クライアントを使用してサードパーティの CA からインターネット証明書を取得すると、その証明書は該当ユーザーのユーザー文書に自動的に追加されます。

ユーザーがブラウザを使用してサードパーティの CA から取得したインターネット証明書は、該当ユーザーのユーザー文書に追加しなければなりません。