サーバーベースの CA サーバーで TLS を設定する

サーバー管理者やクライアントは、ブラウザ経由で CA サーバーにアクセスして証明書の要求や受信を行うため、TLS を使用して CA サーバーを保護してください。TLS を使用できるように CA サーバーを設定する場合は、サーバーのキー・リング・ファイルを作成して、サーバー証明書を要求します。Domino® では、サーバー証明書は自動的に承認され、CA の証明書は信頼されたルートの証明書としてマージされます。

このタスクについて

CA サーバーでない Domino® サーバーでのサーバー認証要求の承認の詳細については、「Certificate Requests データベースを使用してサーバー証明書に署名する」の関連トピックを参照してください。

注: Domino® 5 認証機関が必要になる場合があります。たとえば、Domino® をサードパーティ認証を使用する TLS を使用するように設定する場合です。詳細な情報については、関連トピック内の技術情報「Domino® 5 認証機関を設定する」を参照してください。

サーバーベースの CA サーバーで TLS を設定するには

手順

  1. インターネット認証者を作成します。
  2. 認証要求アプリケーション (CERTREQ.NSF) を作成します。
  3. 次のいずれかを実行して、サーバー証明書を保存するためのサーバーキーリングファイルを作成し、信頼されたルートとして CA 証明書をそのサーバーキーリングファイルにマージします。
    1. Certificate Requests データベースで、[Domino Key Ring Management] > [Create Key Ring] を選択します。
    2. [Create Keyring] フォームで、次のフィールドに必要な情報を設定します。
    3. [Key Ring Created] ダイアログボックス内の情報を確認し、[OK] をクリックします。すると、信頼されたルートとして該当する CA が追加され、サーバーに対する認証要求が生成されます。
    4. [Merge Trusted Root Certificate Confirmation] ダイアログボックス内の情報を確認し、[OK] をクリックします。
    5. [証明書はキーリングに追加され、ルート証明書として指定されました] 確認ダイアログボックスが表示されたら、[OK] をクリックします。
    6. [Certificate Request Successfully Submitted for Key Ring] ダイアログボックスが表示されたら、[OK] をクリックします。

    Certificate Requests データベースでの処理方法として [Automatic] を選択した場合は、手順 5 に進んでください。[Manual] を選択した場合は、手順 4 から 6 を実行してください。

  4. 次の操作を実行し、認証要求をシステム管理要求データベースに転送します。
    1. Certificate Requests データベースで、[Submitted/Waiting for Approval] ビューを開きます。要求が表示されない場合は、[F9] キーを押してビューを更新します。
    2. 要求が [Submitted to Administration Process] になっている場合は、手順 5 を継続します。要求がまだ保留中の場合は、その要求をハイライト表示して [Submit Selected Requests] をクリックします。
    3. Successfully submitted 1 request(s) to the Administration Process」というメッセージが表示されたら、[OK] をクリックします。
  5. 権限のある登録機関に要求を承認してもらいます。この RA は、TLS が設定されている認証者に対して権限があります。
    1. システム管理要求データベース (Admin4.nsf)、[認証機関の要求/認証要求] ビューの順に開き、新しい要求を探します。
    2. 該当する要求を開き、その情報を確認します。
    3. [要求の編集] - [要求の承認] の順にクリックします。要求の状態が [発行] に変わるまで、[F9] キーを押します。
  6. 認証要求をシステム管理要求データベースから転送します。
    1. システム管理要求データベースを閉じ、Certificate Requests データベースに戻ります。
    2. [Pending/Submitted Certificates] ビューを開き、該当する要求を探します。必要に応じて、ビューを更新します。
    3. まだ証明書が発行されていない場合は、[Pull Selected Request(s)] をクリックします。
  7. CA がサーバー証明書に対する要求に署名し、証明書を受け取るよう通知してきたら、次の操作を実行します。
    1. 次の操作のいずれかを行います。
      • 管理者のメールファイルを開き、「Your certificate request has been approved」という件名のメールを開いて、受け取り用 ID をクリップボードにコピーします。
      • Certificate Requests データベースで、[Submitted/Accepted] ビューを開いた後、発行済みサーバー要求を開き、「Request ID」をクリップボードにコピーします。
    2. Certificate Requests データベースで、[Domino Key Ring Management] - [Pickup Key Ring Certificate] を選択します。
    3. キーリングファイル名とパスワードを入力した後、受け取り用 ID をフォームに貼り付け、[Pickup Certificate] をクリックします。
  8. 次の操作を実行して、承認済みのサーバー証明書をキーリングファイルにマージします。
    1. [Merge Signed Certificate Confirmation] ダイアログボックスが表示されたら、情報を確認し、[OK] をクリックします。
    2. Certificate received into key ring」という確認メッセージが表示されたら、[OK] をクリックします。
    3. コピーまたは FTP (バイナリモード) により、新規キーリングファイルとそれに関連する「.sth」ファイルがサーバーのデータディレクトリに転送されます。
  9. TLS 用のポートを設定します。
    1. Domino® ディレクトリで、サーバー文書を開きます。[ポート] - [インターネットポート] セクションで [サーバーの編集] をクリックして、新規キーリングファイルの名前を入力します。(キーリングファイルへのフルパスを含めないでください。[TLS ポートステータス] フィールドを有効にし、[保存して閉じる] をクリックします。
      注: 必要に応じて、サーバー文書の編集中、[インターネットプロトコル] - [Domino Web Engine] セクションの [セッション認証] を有効にすることもできます。そうすることにより、[アイドルセッションタイムアウト] フィールドで指定した時間 (分) が経過すると、HTTP セッションがタイムアウトになります。最大セッション数も指定できます。
    2. HTTP が既に動作している場合は、コンソールで「te http restart」と入力し、サーバーで TLS を有効にします。
    3. サーバーコンソールで「te http show security」と入力すると、TLS の状態が表示され、HTTP サーバーがポート 80 と 443 で待機していることを確認できます。
  10. 次の操作を実行し、サーバー上で TLS が動作していることを確認します。
    1. ブラウザを開き、サーバーの URL を、たとえば次のように入力します。 
      https://Server.Company.com/certreq.nsf
    2. [New Site Certificate] ダイアログボックスで、[次へ] をクリックします。
    3. [情報] をクリックして情報を確認し、[次へ] をクリックします。
    4. 新規サイト証明書を受け入れるかどうかと、受け入れ期間を指定し、[次へ] をクリックします。
    5. 新規サイトにアクセスするたびに警告メッセージを表示するかどうかを指定し、[次へ] をクリックします。ダイアログボックスが表示されたら、[完了] をクリックします。

タスクの結果

セキュリティー・インジケータ (小さな鍵のアイコン) が閉じて (ロックされて) いれば、TLS を介して安全性が保証されたセッションが正常に確立されたことになります。