証明書
認証とは、ユーザーやサーバーを識別する一意なデジタル署名のことです。サーバー ID とユーザー ID には、1 つ以上の HCL Notes® 認証が含まれています。また、インターネット・サーバーとの接続や署名付きの S/MIME メール・メッセージの送信に TLS が使用されている場合に、ユーザーを識別するインターネット証明書をユーザー ID に追加することもできます。
認証は、次の情報で構成されています。
- 証明書を発行した認証者の名前
- 証明書の発行対象となったユーザーやサーバーの名前
- HCL Domino® ディレクトリと ID ファイルの両方に保存されるパブリックキー。Notes® では、パブリックキーの所有者に送信されるメールの暗号化と、ID 所有者の署名の確認にパブリックキーを使用します。
- デジタル署名
- 認証の有効期限
認証は、ID ファイルだけではなく、Domino® ディレクトリのユーザー文書、サーバー文書、認証者文書にも保存されます。これらは通常、Notes® 認証済みのパブリックキーと呼ばれています。
パブリックキーはシークレットキーではありません。どんなユーザーでも、別のユーザーのパブリックキーを参照し、それを使用して暗号化されたメールをそのユーザーに送信したり、そのユーザーを認証できます。Domino® では ID にパブリックキーが使用されているため、パブリックキーを参照しているユーザーにパブリックキーが確実に分かることが重要です。ユーザーは、証明書を発行した認証者のパブリックキーを取得できなければ、その証明書の所有者を認証することはできません。ユーザーが、別のユーザーやサーバーと同じ認証者が発行した証明書を持っている場合は、最初のユーザーがその証明書のパブリックキーを照合して、サーバー名やユーザー名と関連付けられているパブリックキーを確実に知ることができます。同じ認証者が発行した証明書をユーザーが持っていない場合、認証を行うには相互認証が必要です。
Domino® でユーザーやサーバーを登録すると、各ユーザー ID とサーバー ID 用の Notes® 証明書が自動的に作成されます。また、Domino® やサードパーティの認証機関 (CA) を使用してユーザー ID のインターネット証明書を作成できます。Domino® では、x.509 証明書の形式を使用してインターネット証明書が作成されます。
Notes® 認証には有効期限があります。したがって、有効期限が近づいたら、Notes® ID の再認証が必要です。また、ユーザー名やサーバー名を変更した場合は、対応する Notes® ID を再認証して、新しい認証によってパブリックキーが新しい名前と関連付けられるようにしなければなりません。
ユーザー ID の名前を変更すると、インターネット証明書に影響を与える場合もあります。例えば、ユーザー ID の名前を変更したユーザーは、署名付きの S/MIME メールの送信時に、警告メッセージを受信する場合があります。その警告メッセージは、メールの受信者が署名に使用された元の証明書上の名前とは異なる名前による署名を受け取る可能性があることを知らせるものです。