セキュリティ

インターネット認証機関を設定する
セキュリティプランニングにおける非常に重要な分野は、認証機関でインターネット証明書を発行するように設定するかどうか、また発行する場合はどのような方法で設定するかということです。認証機関 (CA) または認証者とは、デジタル証明書の発行と保守を担当する信頼されたシステム管理ツールのことです。証明書は、ユーザー、サーバー、組織の身元確認を行うためのものです。ユーザー、サーバー、組織は、証明書を使用すると、SSL を使って通信やメールの交換を実行することが可能になります。証明書には、認証機関の電子署名が付けられます。これにより、証明書の受信者は、証明書を所持しているユーザーがその証明書で指定されているエンティティであることを確認することができます。

認証機関は、信頼されたルートの証明書も発行できます。それにより、異なる CA によって作成された証明書を持つクライアントとサーバーが互いにやり取りすることが可能になります。

メモ IBM(R) Lotus Notes(R) 認証者とインターネット認証機関を区別することは重要です。最初の IBM(R) Lotus Domino(R) Server をドメインにインストールし設定すると、Lotus Notes 認証者が自動的に設定され、Lotus Notes Client に Lotus Notes 認証が発行されます。この認証は、Lotus Notes Client にとっては Lotus Domino Server で認証を行うために、Lotus Domino Server にとってはお互いに認証を行うために必要不可欠です。したがって、すべてが Web クライアントである環境の中でも、Lotus Notes 認証者は重要になります。ここで説明するインターネット認証機関は、インターネット (X.509) 証明書を発行します。インターネットで安全な通信を行うためには、この証明書が必要です。インターネット認証機関は、必要に応じて設定します。

組織に適したインターネット認証機関を選択する組織に適したインターネット認証機関を設定する際、いくつかのオプションがあります (以降、この項目では、認証機関という用語を「インターネット」認証機関の意味で使います)。VeriSign などのサードパーティの商用認証機関を使用することもできますし、Lotus Domino の 2 種類のインターネット認証機関の 1 つを使用することもできます。いずれの種類の認証機関の場合でも、利点と欠点があります。そのため、いずれを使用するかは、組織の業務要件と、認証機関の管理に投入できる時間やリソースに従って判断する必要があります。
インターネット認証機関:Lotus Domino 認証者とサードパーティ認証機関
インターネット認証機関の種類利点
Lotus Domino 認証者
  • サードパーティの認証機関に依頼した場合に必要となる、クライアント証明書やサーバー証明書の発行と更新のコストがかかりません。
  • 多くのシステム管理者はすでに Lotus Domino について熟知しているため、サードパーティの認証機関を使用する場合に必要となる追加研修は必要ありません。
  • 新規の証明書の設定と配布を、簡単かつ手早く行えます。
サードパーティの認証機関 (VeriSign、RSA など)
  • クライアントの設定を簡略化できます。使用するブラウザによって信頼できる認証機関として事前に設定されている認証機関から証明書を取得すると、クライアントの設定手順が簡単になります。
  • 同様に、S/MIME メールを交換する相手である外部企業のメールクライアントで、その認証機関が信頼できるものとして事前に設定されている場合も、設定手順が簡単になります。

Lotus Domino のインターネット認証機関:サーバーベースの認証機関と Lotus Domino 認証機関
サーバーベースの CA プロセスを使用する Lotus Domino 認証機関を設定するか、CA キーリングを使用する Lotus Domino 認証機関を設定するかを選択することができます。
Lotus Domino のインターネット認証機関の種類利点
サーバーベースの認証機関
  • システム管理者は、CA プロセスを使って Lotus Notes とインターネットの両方の認証機関を管理することができます。
  • 業界標準のセキュリティ (X.509v3 や PKIX など) に準拠したインターネット証明書を発行します。
  • ユーザーやサーバーの登録時、システム管理者は認証者 ID と ID パスワードにアクセスする必要がありません。そのため、システム管理者がそれらのタスクを委任した場合でも、認証機関の信頼性が失われる恐れはありません。
  • PKIX 登録機関 (RA) のロールをサポートしています。これにより、システム管理者は、認証の承認と拒否のプロセスを委任することができます。
  • 証明書失効リスト (CRL) が発行されます。証明書失効リストには、失効したインターネット証明書または期限切れになったインターネット証明書の情報が格納されます。
  • Web サーバー管理クライアントを使用してLotus Notes ユーザーの登録を行う場合は、こちらを選択してください。
  • IBM Workplace Collaboration Services サーバーを使用して、Workplace ユーザーに対し S/MIME の署名付き証明書を発行するように設定できます。
Lotus Domino 認証機関
  • テストおよびデモンストレーションの目的で、インターネット認証機関を設定する場合は、こちらを選択すると、簡単に設定できます。

1 つのドメイン内で両方の種類の Lotus Domino インターネット CA を使用する1 つのドメイン内で、両方の種類の認証機関 (CA プロセスと CA キーリング) を使用することができます。ただし、1 つの認証機関がキーリングと CA プロセスの両方を使ってインターネット証明書を発行することがないよう、十分注意してください。CA プロセスが有効な認証機関は、自分が発行する証明書を発行済み証明書リスト内でトラッキングします。これは、1 つのドメイン内のすべてのサーバーからアクセスできるデータベースです。一方、キーリングを使う認証機関は、使用されたすべてのクライアント上でログを作成します。そのため、発行済み証明書がまとまって記載されているリストはありません (部分的なリストが複数存在するだけです)。したがって、CA プロセスを使用して発行されたすべての証明書は、CA キーリングでは認識されません。同様にCA キーリングファイルを使用して作成されたすべての証明書は、CA プロセスでは認識されません。
サーバーベースの認証機関ではインターネット証明書を失効させることが可能なため、このことは、特にインターネット認証機

関では問題になります。つまり、インターネット証明書を失効させるには、該当する証明書を ICL 内で選択する必要があります。もともとキーリングを使用して発行された証明書の場合、ICL に表示されないため、失効させることができません。

そのため、各認証機関に対しては CA プロセスか CA キーリングかのいずれか一方を選択して運用することを強く推奨します。

関連項目