認証機関キーロールオーバー

認証者キーロールオーバーをサポートするために、Domino® には、ロールオーバー証明書という新しい種類の証明書が追加されました。切り替え証明書はエンティティ自体によって発行されます。階層付きの証明書には、単一の発行者名、単一の被認証者名、単一の被認証者キーがあります。ロールオーバー証明書には、単一の名前 (発行者であり被認証者でもある) と 2 つの被認証者キーがあります。そのうちの 1 つのキーは、証明書に署名するために使用され、被認証者名に示された認証者がもう 1 つのキーを正式に所有していることを証明します。

通常、キーがロールオーバーされると、2 つのロールオーバー証明書が発行されます。1 つの証明書は古いキーによって署名され、新しいキーが有効であることを証明します。もう 1 つの証明書は新しいキーによって署名され、古いキーが有効であることを証明します。それぞれの証明書に独自の有効期限が設定されます。

ロールオーバー証明書は、古いキーに対して発行される証明書の有効期限を制限するために不可欠です。前のキーに脆弱性があるか、少なくともキーが古くなったために脆弱性がある可能性が無視できない程度まで高まった場合などに、キーをロールオーバーします。このような場合は、ロールオーバー証明書に指定する有効期限を制限することで、前に発行された子証明書の存続期間を制限できます。そのためには、十分に短い有効期限をロールオーバー証明書に指定します。

認証者をロールオーバーすることは、組織全体に影響を与えます。認証者をロールオーバーした場合は、すべてのユーザー ID とサーバー ID、それにその認証者によって発行された相互認証をロールオーバーまたは再認証する必要があります。

ユーザーのサイト全体をロールオーバーする最適な方法は、ルート証明書から開始して、階層内の下位へと処理していくことです。最初にルート CA をロールオーバーし、次に OU CA をロールオーバーします。その後、サーバーキーとユーザーキーをロールオーバーします。ユーザーキーまたはサーバーキーを親 CA より前にロールオーバーすると、新しいユーザーキーまたはサーバーキーを 2 回認証することが必要になります。1 回は現在の (古い) CA キーを使用して認証し、その後、CA キーロールオーバー時に再度認証することになります。余分な再認証は時間と労力に関してコストがかかります。ユーザーとサーバーの再認証には、管理者の介入が必要であり、ユーザー文書とサーバー文書の複製も必要になるためです。