TLS ポート構成

TLS プロトコルでは、暗号化されて整合性チェックが行われる通信チャネルと認証済みサーバー ID が常に提供されます。TLS サーバーを設定して、さまざまな形式のクライアント ID 認証を要求することもできます。

TLS の有効化は、プロトコルごとに行う必要があります。クライアント証明書の認証をサポートしていないインターネットプロトコルもあります。

TLS 認証用にポートを設定するには、次の操作を実行します。

  1. ポートを設定します。
  2. TLS だけを使用してサーバーにアクセスするようにユーザーに要求するか、TLS と TCP/IP の両方を使用してアクセスするように要求するかを決めます。

インターネットサイト文書を使用する場合は、ほとんどの TLS ポートパラメータを各プロトコルのインターネット・サイト文書内で設定します。ただし、次の各設定は、インターネットプロトコルごとにサーバー文書内で設定する必要があります。TCP/IP ポートとステータス、TLS ポートとステータス。また、該当するプロトコルの TCP/IP ポートにサーバーアクセス設定を適用するかどうかも指定する必要があります。

サーバー認証だけを使用する

サーバー認証を行うと、データの暗号化とサーバー ID の認証が行われます。サーバー上のデータベースへのユーザー名によるアクセスを制御するには、名前とパスワードによる認証を設定します。サーバー認証だけを使用するように TLS を設定する場合は、次のことに注意してください。

  • サーバーには、Domino® CA またはサードパーティ CA の証明書が必要です。
  • クライアントは、信頼されたルートとしてマークされたサーバーの CA の証明書を持っていなければなりません。クライアントは、相互認証により、TLS サーバー証明書を直接信頼することもできます。
  • Notes® クライアントを使用している場合、Notes® クライアントにサーバーの CA または TLS サーバーの証明書に対する相互認証が必要です。

クライアント証明書の認証を使用する

サーバー認証によるセキュリティに加えて、クライアント証明書の認証を使用すると、インターネット (x.509) クライアント証明書により、クライアント ID が検証されます。サーバー証明書とクライアント証明書の認証を使用すると、データベースの ACL で個々のクライアントのユーザー名を指定して、データベースへのアクセスを制御できます。クライアント証明書の認証で TLS を有効にする場合は、次のことに注意してください。

  • 前述のセクションで説明したサーバー認証要件を満たしてください。
  • クライアントは、Domino® CA かサードパーティ CA の証明書を持っていなければなりません。
  • サーバーは、信頼されたルートとしてマークされたクライアントの CA の証明書を持っていなければなりません。
  • 個々のクライアントは、クライアント証明書の TLS パブリック・キーがある Domino® ディレクトリーにユーザー文書を持っていなければなりません。