相互認証を使用して、サーバーにアクセスし保護された S/MIME メッセージを送信する

Notes® 相互認証

ユーザーやサーバーが、認証階層の異なる別の組織のサーバーにアクセスし、ユーザーのデジタル署名を照合するには、相互認証を使用します。Domino® サーバーは、相互認証を Domino® ディレクトリに保存します。Notes® クライアントは、Domino® サーバーにアクセスするために、該当するサーバーの相互認証を取得し、それを各自の連絡先に保存します。それらの相互認証を使用できるのは、相互認証が発行されたユーザーだけです。

たとえば、Alan Jones/Sales/East/Renovations というユーザーが Support/Seascape サーバーにアクセスする場合、このユーザーには /Seascape からの相互認証が必要で、Support/Seascape サーバーには /Sales/East/Renovations に対する相互認証が必要です。Alan が Support/Seascape サーバーで認証を行おうとすると、サーバーは連絡先にある相互認証をチェックします。相互認証が有効であることが判明した場合、Support/Seascape は、Alan がこのサーバーへのアクセスを許可されているかどうかをチェックします。

相互認証は、組織のさまざまなレベルで発生することがあります。たとえば、ある組織内のすべてのユーザーが別の組織のすべてのサーバーで認証を行えるようにするには、各ユーザーが他の組織の認証者に対する相互認証を連絡先ファイルに持つ必要があります。各組織のサーバーでは、Domino® ディレクトリに他の組織の認証者に対する相互認証を持ちます。相互認証は、個々のユーザー ID やサーバー ID のレベルでも発生することがあります。例えば、1 人のユーザーが別の組織単位のどのサーバーでも認証を行えるようにしたり、その組織単位のユーザーのデジタル署名を照合できるようにするには、ユーザー ID にもう一方の企業の組織単位認証者に対する相互認証が必要で、その組織単位の認証者には、ユーザー ID に対する相互認証が必要です。

双方向の相互認証が対称である必要はありません。たとえば、ある組織は組織単位の認証者に対して相互認証を持つことができ、別の組織は組織の認証者に対して相互認証を持つことができます。

組織や組織単位の認証者に対して相互認証を持っている場合は、サーバーへのアクセス制限を設定し、機密情報を保存している特定のサーバーにもう一方の組織がアクセスすることを禁止します。自分の組織が別の組織のサーバーにアクセスすることは許可し、その別の組織が自分のサーバーにアクセスすることを禁止するには、必要に応じて相互認証を交換する一方で、もう一方の組織によるアクセスを禁止するようすべてのサーバー上でサーバーアクセスリストを設定します。

インターネット相互認証

インターネット相互認証は、ユーザーやサーバーの正当性を検証するための認証です。インターネット相互認証は、送信者の証明書が信頼できることと、S/MIME メッセージの暗号化に使用された証明書が有効であることを、暗号化された S/MIME メッセージの受信者に保証します。また、Notes® クライアントが SSL を使用してインターネットサーバーにアクセスする場合に、サーバーの ID の照合も行います。

インターネット相互認証は、ユーザーの連絡先の認証文書に保存され、相互認証の発行されたユーザーしか使用できません。インターネット相互認証は、リーフ証明書 (CA によってユーザーやサーバーに発行される証明書) または CA 自体に対して発行することができます。リーフ証明書に対して相互認証を作成することは、その証明書の所有者 (たとえば、署名付きメールの送信者、暗号化メールの受信者など) だけを信頼することを意味します。CA に対して相互認証を作成することは、その CA から発行された証明書の所有者すべてを信頼することを意味します。CA を相互認証すると、階層名ツリーでそれほど上位でないユーザーやサーバーに CA が証明書を発行することを信頼することになります。たとえば、Sales/ABC を相互認証すると、Sales/ABC が証明書を発行した Fred/Sales/ABC が信頼されます。Fred/Sales/ABC に対して相互認証を作成すると、Fred/Sales/ABC だけを信頼することになります。