Domino® サーバーベース認証機関

認証要求の管理と処理を行うには、CA プロセスサーバータスクを使用するように Domino® 認証機関を設定します。CA プロセスは、証明書の発行に使用される Domino® サーバー上でプロセスとして実行されます。Notes® 認証者またはインターネット認証者を設定する際、サーバー上の CA プロセスにリンクするように設定すると、CA プロセスの機能を利用できます。1 台のサーバー上で実行できる CA プロセスのインスタンスは、1 つだけです。ただし、CA プロセスは、複数の認証者にリンクできます。

Notes® 認証者とインターネット認証者は、CA プロセスを使用するよう設定できます。Notes® 認証者は、登録されてから CA プロセスに移行されます。一方、インターネット認証者は CA プロセスを使用して作成と登録が行われます。

CA プロセスを使用する理由は、次のとおりです。

  • Notes® 認証とインターネット証明書を発行する機構を統合できます。
  • 登録機関 (RA) のロールをサポートしています。そのため、システム管理者は、認証の承認と拒否のプロセスを組織内の下位レベルの管理者に委任できます。
  • 認証者 ID とパスワードにアクセスする必要がありません。CA プロセスで認証者を有効にし、管理者に登録機関のロールを割り当てると、その管理者は認証要求の管理を行うことができます。その際、認証者 ID とパスワードを指定する必要はありません。
  • Web ベースの Certificate Requests データベースを使用して、インターネット証明書要求プロセスを簡略化できます。
  • 証明書失効リストが発行されます。このリストには、失効したインターネット証明書の情報が格納されます。
  • 発行済み証明書リスト (ICL) の作成と管理を行います。これは、認証者から発行されたポリシーと認証者 ID ファイルのコピーなどすべての証明書に関する情報が格納されるデータベースです。
  • インターネット証明書のための業界標準のセキュリティ (X.509 や PKIX など) に準拠しています。

Domino® コンソールから CA プロセスの管理を行うには、サーバーの Tell コマンドを使用します。

発行済み証明書リスト (ICL)

どの認証者にも、その認証者の作成時または CA プロセスへの移行時に作成された発行済み証明書リスト (ICL) が 1 つあります。ICL は、発行済みの有効な各証明書のコピー、証明書失効リスト (インターネット認証者の場合)、CA 設定文書が格納されるデータベースです。システム管理者が認証者を作成し、その認証者のパブリックキーを使用して署名すると、設定文書が生成されます。設定文書をいったん作成すると、編集することはできません。

CA 設定文書には、次のものが含まれます。

  • 証明書プロフィール。認証者が発行した証明書に関する情報が格納されます。
  • CA 設定文書。認証者自身に関する情報が格納されます。
  • RA/CA 関連文書。認証要求を承認または拒否する権限のある RA に関する情報が格納されます。これは、RA ごとに 1 つ存在する文書です。
  • ID ファイル保存文書。認証者 ID に関する情報が格納されます。

もう 1 つの CA 設定文書である認証者文書は、認証者の設定時に Domino® ディレクトリ内に作成されます。この文書は編集可能です。

証明書失効リスト (CRL)

CRL は、退職した従業員の証明書など、失効したインターネット証明書を示すタイムスタンプ付きのリストです。CA プロセスでは、各インターネット認証者について CRL を発行し、それを管理します。CRL と認証者は 1 対 1 で関連付けられ、その認証者から署名を受けて、その認証者の ICL データベース内に存在します。

CRL は、新しいインターネット認証者の作成時に設定します。ここでは、CRL の有効期間と新規に CRL を発行する間隔を指定できます。CRL の設定が済むと、該当する認証者は CRL を定期的に発行するようになります。CRL は自動で実行されます。

CRL を使用すると、システム管理者は、自組織内で発行された証明書を管理できます。証明書の対象者が異動した場合やキーが改ざんされている場合、証明書を簡単に失効させることができます。HTTP サーバーと Web ブラウザでは、CRL をチェックすることにより、該当の証明書が失効していて、認証者から信頼されていない状態になっているかどうかを判断できます。インターネットサイト文書を使用して Domino® 上でインターネットプロトコルを設定する場合は、CRL のチェックをプロトコルごとに有効にすることもできます。

CRL には、「スケジュール」と「即時」の 2 種類があります。スケジュールされた CRL の場合は、CRL の有効期間と新規に CRL を発行する間隔を指定します。最後の CRL が発行された時点以降に失効した証明書がない場合でも、各認証者は、指定されたタイミングで CRL を発行します。つまり、管理者が証明書を失効させると、認証者がスケジュールに従って次に発行する CRL に反映されます。CRL の有効期間は、各 CRL の発行間隔より長くしてください。そうすれば、CRL を有効な状態に保つことができます。そうでない場合、CRL は新しい CRL が発行される前に期限切れになってしまいます。

ただし、深刻なセキュリティ侵害が発生した場合、たとえば管理者が非常に強力な証明書を失効させる必要がある場合や、認証者の証明書が改ざんされている場合などは、システム管理者が即時の CRL (スケジュール外の CRL) を手動で発行し、緊急の失効を有効にできます。このような緊急の失効により、次にスケジュールされている CRL のタイミングや内容が影響を受けることはありません。即時の CRL は、Tell コマンドを使用して発行します。