TLS 暗号に関する制限を変更する

TLS では、パブリック・キー、プライベート・キー、セッションで決定するセッション・キーが使用されます。どの TLS 証明書のセットでも、パブリック・キーとプライベート・キーのペアと、証明書の所有者がネットワーク上で自分自身を識別したり、S/MIME を使用してメッセージを暗号化しメッセージに署名したりすることを可能にする X.509 証明書があります。証明書には、キー・ペアのうち、パブリックキーだけが含まれます。プライベートキーは、Notes® クライアントの ID ファイルに格納されます。TLS サーバーの場合は、キー・リング・ファイルまたは cerstore.nsf データベースに格納されます。Domino 12 以降、Domino は RSA キーと ECDSA キーの両方をサポートしています。詳しくは、ACME アカウントおよびホスト鍵の ECDSA 暗号化のサポートを参照してください。

このタスクについて

セッションキーは、ハンドシェーク時にネゴシエーションによって決定されます。ハンドシェークの主な目的は、セッションキーを生成することと、クライアントでサーバーを識別することです。また、サーバーでクライアントを識別する場合もあります。セッションキーのサイズは、使用する暗号によって決まります。たとえば、暗号 ECDHE_RSA_WITH_AES_256_GCM_SHA384 は、256 ビットのセッション・キーと RSA サーバー・キーのペアを使用します。暗号 ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 は、128 ビットのセッション・キーと ECDSA サーバー・キーのペアを使用します。ECDHE で始まる暗号は、ECDHE を前方秘匿性に使用する TLS 1.2 暗号でサポートされる 2 つの新しい曲線 で説明されているように楕円曲線技術を使用して前方秘匿性を提供します。

インターネット・プロトコルで使用される TLS 暗号を制限することができます。構成パラメーターが設定されていない場合は、その Domino サーバーに対して TLS 暗号のデフォルト・セットが使用されます。既定の TLS 暗号は、現在のセキュリティーのベスト・プラクティスに基づいてリリースごとに更新されるため、ほとんどの管理者はデフォルトの暗号を使用することをお勧めします。

TLS 暗号の設定方法には、Domino® サーバーでのインターネットプロトコルの設定方法に応じて、次の 2 つの方法があります。

  • インターネットサイト文書を使用する場合。インターネットサイト文書を使用する場合は、TLS 暗号の制限をプロトコルごとに個別指定できます。
  • サーバー文書を使用する場合。

インターネットサイト文書内での TLS 暗号に関する制限の変更の詳細については、関連リンクにある「インターネットサイト文書のセキュリティを設定する」を参照してください。

サーバー文書で TLS 暗号に関する制限を変更するには

手順

  1. Domino® Administrator で、[設定] をクリックし、Domino® ディレクトリのサーバー文書を開きます。
  2. [ポート] > [インターネットポート] > [Web] をクリックします。
  3. [TLS 暗号] フィールドで [修正] をクリックします。使用できる TLS の暗号仕様のリストが表示されます。
  4. 暗号仕様を選択して、[OK] をクリックします。
  5. 文書を保存して閉じます。