Domino® CA を管理する

HCL Domino® 認証者の管理に関連するタスクは多数あります。CA プロセスを使用する認証者を設定すると HCL Notes® 認証とインターネット認証要求の承認と拒否を、登録機関として機能する管理者に委任できます。Domino® の以前のバージョンで、CA プロセスを使用することにより、CA の管理に関連する手動タスクの多くが自動化されています。

Domino® 認証機関管理者タスク

CAA は、ドメインのマスター Domino® ディレクトリに対して [編集者] 以上のアクセス権を持つ必要があります。

認証者ごとに、CAA を 2 人以上指定しておくとよいでしょう。そうしておけば、一方が異動しても、すぐに対処できます。

注: デフォルトでは、認証者を作成した管理者は、その認証者の CAA と RA として自動的に指定されます。別の CAA を作成する場合、RA のロールが割り当てられないと、認証要求の承認や拒否を行うことができません。

Domino® 認証機関の管理者 (CAA) が担当するタスクは、次のとおりです。

  • 認証者を作成し設定する。
  • 認証者を編集する。例えば、Notes® 認証者の ID 復旧情報を編集できるのは、CA 管理者だけです。
  • 認証機関と登録機関の管理者の追加や削除、ユーザーに割り当てられている CA ロールと RA ロールの変更を実行する。

Domino® 登録機関の管理者のタスク

登録機関 (RA) の管理者は、Notes® 認証要求またはインターネット認証要求の承認または拒否、インターネット証明書の失効 (必要に応じて) を実行します。CA 管理者を登録機関にすることもできますが、RA のロールを別に設けると、Domino® 管理者や CA 管理者からそれらのタスクの負荷を減らすことができます。さらに、Domino® 管理者は、CA プロセスが有効になっている認証者ごとに、RA を 1 つまたは複数設定することもできます。

RA は、該当する認証者によって受け付けられた要求だけを承認します。CA の Issued Certificate List (ICL) データベースに格納されている CA 設定文書と CA 証明書プロフィール文書では、受け付け可能な要求について規定されています。文書の現在の有効なコピーも添付ファイルとして CA の認証者文書と共に保存されます。

認証者に証明書を発行してもらうために必要な手順を最小限にするために、Notes® ユーザーを登録する Domino® 管理者は、該当する Notes® 認証者の RA としてもリストされている必要もあります。

Domino® 登録機関 (RA) の管理者が担当するタスクは、次のとおりです。

  • インターネット証明書要求を承認または拒否する。
  • 証明書の対象者が異動した場合やキーが改ざんされている場合など、証明書を信頼できないと思われる場合に、その証明書を失効させる。
注: RA がユーザーを登録できるためには、RA はドメインのマスター Domino® ディレクトリに対して [文書の作成] 権限と [User Creator] ロールの両方を持つ [作成者] 以上のアクセス権を持つ必要があります。これは、Notes® ユーザーを登録するのに Domino® Administrator で必要とされるアクセス権限と同じものです。