Lotus Domino Administrator 6.5.1 ヘルプ - サーバーベース CA の認証者を作成する

セキュリティ

サーバーベース CA の認証者を作成する
組織の Notes 認証者およびインターネット認証者を作成して、CA プロセスを使用するように設定できます。

Notes 認証者を作成するには
1 組織認証者または組織単位認証者を登録します。

2 認証者を CA プロセスに移行します。

インターネット認証者を作成するには
サーバーおよびクライアントのインターネット証明書を発行するインターネット認証者を 1 名または複数名作成します。

1 Domino Administrator で、[設定] をクリックします。

2 ツールペインで、[登録] - [インターネット認証者] を選択します。

3 [インターネット認証者の登録] ダイアログボックスで、「CA プロセスを使用するインターネット認証者を登録する」を選択します。

4 [新規インターネット証明書の登録] ダイアログボックスで [基本] をクリックします。

5 認証者名を作成します。共通名を指定し、それ以外のコンポーネントを 1 つ以上指定します。

共通名 -- 認証者の名前を入力します。
組織単位 (省略可能) -- 認証者の組織単位の名前を入力します (該当する組織単位がある場合のみ)。
組織 (省略可能) -- 認証者の組織の名前を入力します。
市町村 (省略可能) -- 組織が存在する市町村を入力します。
都道府県 (省略可能) -- 組織が存在する都道府県名を入力します (合衆国の場合は、省略形でなく完全な州名を入力)。
国 (省略可能) -- 組織が存在する国の 2 文字の省略形を入力します。

6 認証者を格納するサーバーを選択します。

7 (省略可能) デフォルトの ICL データベース名を変更します (たとえば、"icl\icl_Acme.nsf" などに)。

メモ

なるべくデフォルトのディレクトリ構造を使用してください。

8 [認証者 ID の暗号化に使用する] では、次のいずれか 1 つを選択します。

オプション	セキュリティのレベル	必要なパスワード	必要なアクション
サーバー ID	低	なし	なし
サーバー ID	中	サーバー ID のパスワード	認証者 ID をサーバー ID とパスワードで暗号化するには、認証者をアクティブにする必要があります。その場合は、次の tell コマンドを使用します。 tell ca activate <password>
ロック ID	高	登録済みのユーザー ID とパスワード	認証者 ID をロック ID で暗号化することを選択すると、作成時、認証者がロックされます。その場合は、次の tell コマンドを使用します。 tell ca unlock <idfile><password>

メモ

認証者 ID をパスワードで保護されたサーバー ID で暗号化すると、該当する認証者だけが保護されます。ロック ID を使用する場合は、それを複数の認証者で使用することもできます。その場合は、該当する認証者のロックとロック解除を同時に実行する必要があります。

9 (省略可能) [管理者] リストで、追加する CAA および RA の名前を入力します。CA を作成する管理者の名前は、CA 管理者と RA 管理者のリストに自動的に追加されます。

認証機関の管理者と登録機関について詳しくは、「Domino CA を管理する」の項目を参照してください。

10 [認証] タブで、次のフィールドに必要な情報を設定します。

フィールド アクション

CRL 配布ポイント拡張を含むこのオプションを選択すると、[サーバー] リストで選択したサーバー上で認証者の CRL の配布ポイントを特定する属性を有効にできます。証明書が発行された後でも認証を失効させることができるので、このオプションを使用することを推奨しますデフォルトでは使用可能になっています。

認証の有効性をさかのぼって適用する認証の有効期間とは、CA が認証のステータスに関する情報を保持することを保証する期間です。証明書が有効となる日付が証明書の作成日と異なる場合には、認証の有効期間をさかのぼることができます。デフォルトでは使用可能になっています。日付の入力はできません。

証明書の有効期間証明書のデフォルト期間、最短期間、最長期間を月数で入力します。

キー使用この認証者のキー使用拡張を選択します。

メモ作成できる証明書の種類は、エンドエンティティ証明書のみで、デフォルトではこのオプションが使用可能となっています。これは、この認証者が発行したインターネット証明書を、証明書のユーザーや、証明書の対象者であるエンドユーザーシステムに適用することを意味しています。

11 [その他] をクリックした後、[認証者 ID のローカルコピーの作成] をクリックします。そして、認証者 ID のファイル名とパスワードを入力し、[OK] をクリックします。認証者 ID のコピーがデフォルトパス ...\notes\data\ids\certs\cert.id に保存されます。別のパスを選択することもできます。認証者 ID のこのローカルコピーは、認証者 ID が破損した場合に、認証者を再作成するためのバックアップとして使用します。

12 次のフィールドに必要な情報を設定し、この認証者の証明書失効リストを指定します。

フィールド アクション

CRL の有効期間 (日) 指定した CRL が有効である期間 (日数) を入力します。この期間は、CRL の発行間隔より長くしてください。そうしておけば、CRL は常に有効です。

CRL の時間間隔 (日) CRL を発行する間隔 (日数) を入力します。

13 次のフィールドに必要な情報を設定し、この認証者の「キーおよび認証者の証明書」情報を指定します。

フィールド アクション

署名アルゴリズム証明書の署名の暗号化に使用するアルゴリズムを選択します。

キーの長さ暗号化に使用するキーの長さを入力します。この設定により、暗号キーの任意の値を表現するのに必要なビット数が決まります。キーの長さが長いほど、暗号化されたテキストの暗号化を解除するのが困難になります。

認証の有効期限 (省略可能) 証明書のデフォルトの有効期限を変更します。

14 次のフィールドに必要な情報を設定して、この認証者の PKIX 別名情報を指定します。

別名フィールドを使用すると、証明書に別名をリストできます。どの証明書にも、対象の別名を表示できます。CA に別名がある場合、その CA が発行する証明書にそれらの別名が記載されます。たとえば、認証者の電子メールアドレスを証明書に記載しておくと、その証明書を発行した認証者に連絡する方法をユーザーに知らせることができます。

メモ PKIX の別名は、Notes の別名とは異なります。Notes の別名は、ユーザー名の外国語バージョンです。

フィールド アクション

種類使用する別名の種類を入力します。

値使用する別名を入力します。

[追加] をクリックして、認証者の証明書に別名を追加します。

15 [OK] をクリックします。CA の設定が正常に実行されたことを示すメッセージが表示されます。

16 次の操作を実行します。

新しい認証者を CA プロセスに追加します。
認証要求アプリケーションを作成します。

関連項目

用語集

用語集

フィールド	アクション
CRL 配布ポイント拡張を含む	このオプションを選択すると、[サーバー] リストで選択したサーバー上で認証者の CRL の配布ポイントを特定する属性を有効にできます。証明書が発行された後でも認証を失効させることができるので、このオプションを使用することを推奨しますデフォルトでは使用可能になっています。
認証の有効性をさかのぼって適用する	認証の有効期間とは、CA が認証のステータスに関する情報を保持することを保証する期間です。証明書が有効となる日付が証明書の作成日と異なる場合には、認証の有効期間をさかのぼることができます。デフォルトでは使用可能になっています。日付の入力はできません。
証明書の有効期間	証明書のデフォルト期間、最短期間、最長期間を月数で入力します。
キー使用	この認証者のキー使用拡張を選択します。

フィールド	アクション
CRL の有効期間 (日)	指定した CRL が有効である期間 (日数) を入力します。この期間は、CRL の発行間隔より長くしてください。そうしておけば、CRL は常に有効です。
CRL の時間間隔 (日)	CRL を発行する間隔 (日数) を入力します。

フィールド	アクション
署名アルゴリズム	証明書の署名の暗号化に使用するアルゴリズムを選択します。
キーの長さ	暗号化に使用するキーの長さを入力します。この設定により、暗号キーの任意の値を表現するのに必要なビット数が決まります。キーの長さが長いほど、暗号化されたテキストの暗号化を解除するのが困難になります。
認証の有効期限	(省略可能) 証明書のデフォルトの有効期限を変更します。

フィールド	アクション
種類	使用する別名の種類を入力します。
値	使用する別名を入力します。