インターネット認証機関を設定する

セキュリティプランニングにおける非常に重要な分野は、認証機関でインターネット証明書を発行するように設定するかどうか、また発行する場合はどのような方法で設定するかということです。認証機関 (CA) または認証者とは、デジタル証明書の発行と保守を担当する信頼されたシステム管理ツールのことです。証明書は、ユーザー、サーバー、組織の身元確認を行うためのものです。ユーザー、サーバー、組織は、証明書を使用すると、SSL を使用して通信やメールの交換を実行することが可能になります。証明書には、認証機関の電子署名が付けられます。これにより、証明書の受信者は、証明書を所持しているユーザーがその証明書で指定されているエンティティであることを確認することができます。

認証機関は、信頼されたルートの証明書も発行できます。それにより、異なる CA によって作成された証明書を持つクライアントとサーバーが互いにやり取りすることが可能になります。

注: Notes® 認証とインターネット認証機関の違いを理解することは重要です。最初の Domino® サーバーをドメインにインストールして設定すると、Notes 認証者が自動的に設定され、Notes クライアントに Notes 認証が発行されます。これらの認証は、Notes クライアントにとっては Domino サーバーで認証を行うために、Domino サーバーにとっては相互に認証を行うために必須です。したがって、すべてが Web クライアントである環境の中でも、Notes 認証者は重要になります。ここで説明するインターネット認証機関は、インターネット (X.509) 証明書を発行します。インターネットで安全な通信を行うためには、この証明書が必要です。インターネット認証機関は、必要に応じて設定します。

組織に適したインターネット認証機関を選択する

組織に適したインターネット認証機関を設定する際、いくつかのオプションがあります (以降、このトピックでは、認証機関という用語を「インターネット」認証機関の意味で使用します)。VeriSign などのサードパーティの商用認証機関を使用することもできますし、Domino の 2 種類のインターネット認証機関の 1 つを使用することもできます。どちらの種類の認証機関の場合でも、利点と欠点があります。そのため、どれを使用するかは、組織の業務要件と、認証機関の管理に投入できる時間やリソースに従って判断する必要があります。

インターネット認証機関:Domino とサードパーティの比較

表 1. インターネット認証者

インターネット認証機関の種類

利点

Domino 認証者

  • サードパーティの認証機関に依頼した場合に必要となる、クライアント証明書やサーバー証明書の発行と更新のコストがかかりません。
  • 多くのシステム管理者は既に Domino について熟知しているため、サードパーティの認証機関を使用する場合に必要となる追加研修は必要ありません。
  • 新規の証明書の設定と配布を、簡単かつ手早く行えます。

サードパーティの認証機関 (VeriSign、RSA など)

  • クライアントの設定を簡略化できます。使用するブラウザによって信頼できる認証機関として事前に設定されている認証機関から証明書を取得すると、クライアントの設定手順が簡単になります。
  • 同様に、S/MIME メールを交換する相手である外部企業のメールクライアントで、その認証機関が信頼できるものとして事前に設定されている場合も、設定手順が簡単になります。

Domino インターネット認証機関: サーバーベースの認証機関と Domino 5 の認証機関との比較

サーバーベースの CA プロセスを使用する Domino 認証機関を設定するか、CA キーリングを使用する Domino 5 認証機関を設定するかを選択することができます。

表 2. Domino インターネット認証者

Domino インターネット認証機関の種類

利点

サーバーベースの認証機関

  • システム管理者は、CA プロセスを使用して Notes® とインターネットの両方の認証機関を管理することができます。
  • 業界標準のセキュリティ (X.509v3 や PKIX など) に準拠したインターネット証明書を発行します。
  • ユーザーやサーバーの登録時、システム管理者は認証者 ID と ID パスワードにアクセスする必要がありません。そのため、システム管理者がそれらのタスクを委任した場合でも、認証機関の信頼性が失われる恐れはありません。
  • PKIX 登録機関 (RA) のロールをサポートしています。これにより、システム管理者は、認証の承認と拒否のプロセスを委任することができます。
  • 証明書失効リスト (CRL) が発行されます。証明書失効リストには、失効したインターネット証明書または期限切れになったインターネット証明書の情報が格納されます。
  • Web サーバー管理クライアントを使用して Notes ユーザーの登録を行う場合は、こちらを選択してください。

Domino 5 認証機関

  • テストとデモンストレーションの目的で、インターネット認証機関を設定する場合は、こちらを選択すると、簡単に設定できます。

1 つのドメイン内で両方の種類の Domino インターネット CA を使用する

1 つのドメイン内で、両方の種類の認証機関 (CA プロセスと CA キーリング) を使用することができます。ただし、1 つの認証機関がキーリングと CA プロセスの両方を使用してインターネット証明書を発行することがないよう、十分注意してください。CA プロセスが有効な認証機関は、自分が発行する証明書を発行済み証明書リスト内でトラッキングします。これは、1 つのドメイン内のすべてのサーバーからアクセスできるデータベースです。一方、キーリングを使用する認証機関は、使用されたすべてのクライアント上でログを作成します。そのため、発行済み証明書がまとまって記載されているリストはありません (部分的なリストが複数存在するだけです)。したがって、CA プロセスを使用して発行されたすべての証明書は、CA キーリングでは認識されません。同様に CA キーリングファイルを使用して作成されたすべての証明書は、CA プロセスでは認識されません。

サーバーベースの認証機関ではインターネット認証機関を失効させることが可能なため、このことは、特にインターネット認証機関では問題になります。つまり、インターネット証明書を失効させるには、該当する証明書を ICL 内で選択する必要があります。もともとキーリングを使用して発行された証明書の場合、ICL に表示されないため、失効させることができません。

そのため、各認証機関に対しては CA プロセスか CA キーリングかのいずれか一方を選択して運用することを強く推奨します。