LOTUS NOTES CLIENT のインストールと SMART UPGRADE

plugin_customization.ini ファイルを使用して信頼を検証する
IBM(R) Lotus Notes(R) インストールメディアキットの deploy\plugin_customization.ini ファイルを使用すると、名前付きキーストアを呼び出して、フィーチャーとプラグインが有効期限切れ、まだ有効になっていない、未署名、認識されていない認証機関によって署名されている場合の応答方法をインストーラーに指示できます。Lotus Notes インストールメディアキットの deploy\plugincustomization.ini ファイルで以下の設定を変更すると、インストールおよび更新中の応答を確立できます。
メモ IBM(R) Lotus Domino(R) インストールメディアキットを使用して更新している場合は、Lotus Domino のポリシーのほうが、Lotus Notes インストールメディアキット deploy\plugincustomization.ini ファイルにある設定よりも優先されます。Lotus Domino のポリシーが初期インストールに影響を与えることはありません。

デフォルトでは、Lotus Notes インストーラーは deploy ディレクトリのキーストアのみを使用して信頼を判別します。よく知られた認可機関が発行した証明書を信頼する場合は、インストールメディアキットの deploy\plugin_customization.ini ファイルに以下のようにステートメントを追加します。

メモ これは、よく知られたあらゆるルートの証明書が含まれている JRE CACERTS ファイルを使用して、コード署名証明書の信頼を検証するようにインストールメディアキットのインストーラーに指示するものです。この設定を使用すると、有効な証明書を持つだれもがコードを変更できるため、インストーラーのセキュリティが損なわれます。


署名検証結果の解釈方法を制御する 3 つの設定は、次のとおりです。
EXPIRED_SIGNATURE_POLICYEXPIRED_SIGNATURE_POLICY 設定は、署名されている JAR ファイルがプロビジョニングで見つかったものの、その JAR ファイルの署名に使用されている証明書の有効期限が過ぎている場合のデフォルトの動作を定義します。有効な値は、PROMPT、ALLOW、および DENY です。初期インストールの場合、この機能用のユーザーインターフェースがないため、PROMPT=DENY になります。PROMPT 機能は、Lotus Notes アップグレードによって認識されます。
メモ インストールメディアキットを使用して実行されるインストールまたはアップグレードの場合は、PROMPT=DENY になります。

次の例では、有効期限を過ぎた署名のある JAR ファイルがインストールまたは更新されます。


UNSIGNED_PLUGIN_POLICYUNSIGNED_PLUGIN_POLICY 設定は、署名されていない JAR ファイルがプロビジョニングで見つかった場合のデフォルトの動作を定義します。有効な値は、PROMPT、ALLOW、および DENY です。初期インストールの場合、この機能用のユーザーインターフェースがないため、PROMPT=DENY になります。PROMPT 機能は、Lotus Notes インストールとアップグレードによって認識されます。
次の例では、署名のない JAR ファイルがインストールまたは更新されます。
UNTRUSTED_SIGNATURE_POLICYUNTRUSTED_SIGNATURE_POLICY 設定は、正しく署名されている JAR ファイルがプロビジョニングで見つかったものの、一致する証明書がキーストアに存在しない場合のデフォルトの動作を定義します。
有効な値は、PROMPT、ALLOW、および DENY です。メディアキットのインストールとアップグレードの場合、この機能用のユーザーインターフェースがないため、PROMPT=DENY になります。

以下の例では、信頼されていない JAR ファイルのインストールおよび更新が許可されません。Lotus Notes の初期インストール時に信頼されていない署名が見つかった場合は、エラーが発生してインストールが終了します。


関連項目