Notes® クライアントとインターネット・クライアントで TLS クライアント認証を設定する

Notes® クライアントやインターネットクライアントでサーバーとのクライアント認証を設定できます。SMTP と IIOP 接続では、クライアント認証は使用できません。

このタスクについて

Notes® クライアントやインターネット・クライアントで TLS クライアント認証を使用するには、次のものが必要です。

  • Domino® またはサードパーティの認証者が発行したインターネット証明書。
  • Domino® 認証者またはサードパーティ認証者からの信頼されたルート証明書。
  • (Notes® クライアントのみ) 信頼されたルート証明書から作成された、Domino® 認証者かサードパーティ認証者に対する相互認証。相互認証を作成した後は、信頼されたルート証明書は Notes® クライアントには必要ありません。
  • Web ブラウザや Notes® クライアントなどの TLS を使用できるソフトウェア。

LDAP クライアントが SASL (Simple Authentication and Security Layer) プロトコルをサポートする場合、クライアントが TLS クライアント認証を使用して Domino サーバーに接続すると、Domino® は自動的に SASL プロトコルを使用します。SASL は、TCP/IP 接続やサーバー認証だけ使用する TLS 接続ではサポートされていません。

Domino® CA が発行した証明書で Notes® クライアントを設定するには

このタスクについて

CA とクライアントで次の手順を実行します。

手順

  1. 証明書を発行する前に、Notes® ID ファイルに保存されている既存のパブリックキーとプライベートキーを使用してインターネット証明書を作成するか、ブラウザの認証要求によって生成される新しいキーに基づいて証明書を発行するかを決めなければなりません。クライアントが PKCS #12 をサポートするブラウザを使用する場合、クライアントは既存のインターネット証明書を Notes® ID ファイルにインポートできます。環境によっては、別々のユーザーに対してこれらのオプションを組み合わせて使用することも可能です。
  2. CA で、クライアントがアクセスできる Domino® ディレクトリに、信頼されたルートの証明書を追加します。

    クライアントでは、信頼されたルート証明書を連絡先に追加することもできます。ただし、信頼されたルート証明書を追加すると、Notes® クライアントでの TLS 設定が簡略化されます。これは、信頼されたルートには多くのユーザーがアクセスできるためです。

  3. CA の信頼されたルート証明書を使用して、クライアントで相互認証を作成し、連絡先に保存します。
  4. Notes® ID ファイルに既存のパブリックキーやプライベートキーを使用して証明書を作成するには、次の操作を行います。
    1. CA で、インターネット証明書をユーザー文書に追加します。
    2. クライアントをホームサーバーで認証します。Notes® によりインターネット証明書が自動的に ID ファイルに追加されます。
  5. 新しいパブリックキーとプライベートキーを使用してインターネット証明書を作成するには、次の操作を行います。
    1. クライアントで CA にインターネット証明書を要求します。
    2. CA で要求を受理します。Domino® によりクライアントのパブリックキーは、自動的にユーザー文書に追加されます。
    3. クライアントは証明書を ID ファイルにマージします。
    4. CA でインターネット証明書をユーザー文書に追加します。

Domino® CA が発行した証明書でインターネットクライアントを設定するには

手順

  1. CA 管理者がインターネットクライアントのユーザー文書を作成します。
  2. クライアントで、サーバーの CA に対する信頼されたルート証明書を取得します。
  3. クライアントで CA にインターネット証明書を要求します。
  4. CA で要求を受理します。Domino® によりクライアントのパブリックキーは、自動的にユーザー文書に追加されます。
  5. クライアントは証明書をローカルファイルにマージします。

サードパーティー CA が発行した証明書を持つ Notes® クライアントまたはインターネットクライアントを設定するには

このタスクについて

CA とクライアントで次の手順を実行します。

手順

  1. (インターネットクライアントのみ) CA 管理者がクライアントのユーザー文書を作成します。
  2. クライアントで、任意のブラウザを使用して、サードパーティの CA の手順に従いインターネット証明書を要求してマージします。
  3. クライアントで、サードパーティ CA の手順に従い CA に対する信頼されたルートの証明書をマージします。
  4. CA でクライアントのパブリックキーをユーザー文書に追加します。

たとえば、VeriSign からインターネット証明書を取得するには、関連リンクの「TLS Certificate Authority and Digital IDs」のサイトを参照してこのサイトでの指示に従います。