Lotus Domino Administrator 8 ヘルプ - インストールと更新用にカスタムまたはサードパーティのフィーチャーとプラグインに署名する

LOTUS NOTES CLIENT のインストールと SMART UPGRADE

インストールと更新用にカスタムまたはサードパーティのフィーチャーとプラグインに署名する
Eclipse プラグインを作成および使用して、IBM(R) Lotus Notes(R) クライアント機能を拡張できます。プラグインは、クライアントソフトウェアと共にプロビジョニングされています。通常、Lotus Notes Client が信頼し、データの安全性が検証されていることを示す証明書で署名されています。

プラグインは、通常、プラグインの作成方法に応じて開発者またはビルドルームによって署名されています。JAR 署名は標準的なプロセスであり、この署名を実行するツールが数多くあります。Java Development Kit (JDK) に含まれている JarSigner ツールか、またはサードパーティのツール (Eclipse の Plugin Development Environment (PDE) など) を使用して、フィーチャーとプラグインに署名できます。jar 署名で使用する証明書は、広く知られている認証機関 (CA) から取得できます。

Lotus Notes インストールの新しいフィーチャー (カスタムまたはサードパーティのフィーチャー) とプラグインをインストールおよびデプロイする場合は、独自の証明書をキーストアに追加して、署名済みフィーチャーがメディアキットからのインストールおよび更新中に信頼されるようにすることができます。

初期および更新プロビジョニング中に、フィーチャーが信頼できるかどうかがチェックされます。Lotus Notes がすでにインストールされている場合は、ランタイムプロビジョニング中 (従来のサードパーティインストール中またはユーザー開始更新中) にフィーチャーがチェックされます。

インストール時プロビジョニング - Lotus Notes インストーラーによって、インストールキットの更新サイト UPDATESITE.ZIP から新しいフィーチャーまたは更新されたフィーチャーがインストールされ、初期のプロビジョニングが実行されます。この初期プロビジョニング時に、Lotus Notes インストールメディアキットの deploy ディレクトリにある Java キーストアファイルに基づいて、信頼できるかどうかが判別されます。このキーストアファイルには、IBM コード署名証明書が含まれています。デフォルトでは、この証明書で署名されているフィーチャーとプラグインのみがインストールされます。
ランタイムプロビジョニング - Lotus Notes の実行中、プロビジョニングはエンドユーザーによって手動で開始されるか、またはスケジュールされた基準に基づいたプログラムを使用して開始されます。ランタイムプロビジョニング中、ダウンロードされているフィーチャーが信頼できるかどうかは Lotus Notes のキーストアによって判別されます。このキーストアには、IBM コード署名証明書が含まれており、デフォルトではこの証明書で署名されているプラグインのみがインストールされます。

Lotus Notes インストールメディアキット更新サイトの zip ファイル内の項目は、署名されている必要があります (カスタムまたはサードパーティのフィーチャーとプラグイン JAR ファイルを含む)。プロビジョニングプロセスによって、署名の検証が試行されます。これにより、管理者とユーザーは、クライアントにダウンロードされている署名済みコードを制御および検証できます。インストールまたは更新するフィーチャーにデジタル署名を行うと、次のようになります。

インストール後のサマリーとして、信頼されていない内容に関するエラーが表示されます。
ポリシー設定に基づいて、ランタイムプロビジョニング中に信頼済みコンテンツと信頼されていないコンテンツを処理できるように、整合性のあるユーザーインターフェースが提供されます。
メモ最初の Lotus Notes のインストール中にプロンプトを表示するユーザーインターフェースはありません。
デフォルトの設定を上書きして、サーバーからポリシー設定を管理できるように、管理されたポリシー設定に基づいて信頼できるかどうかが判別されます。

新しいフィーチャーに署名してインストールキットに追加する新しい Eclipse フィーチャーを作成する場合、後のインストールや更新に備えて、認証機関から取得したコード署名証明書でそのフィーチャーに署名できます。フィーチャーに署名してインストールメディアキットに正しく配置すると、コード署名証明書がメディアキットキーストアに含まれている場合に限り、そのフィーチャーをインストールできます。コード署名証明書が信頼されたファイルでない場合は、インストール署名検証ポリシーを変更して、署名済みであるものの信頼されていないコンテンツをインストールできるようにすることができます。カスタムまたはサードパーティの Eclipse フィーチャーに署名すると、次のことが可能になります。

ポリシー設定を設定し、許可済みの Eclipse 更新サイトからダウンロード可能な署名済みコンテンツまたは署名されていないコンテンツの種類を決定できます。
IBM(R) Lotus Domino(R) のポリシーを使用するか、またはインストールメディアキットの PLUGIN_CUSTOMIZATION.INI ファイルにプリファレンスを設定して、インストールおよび更新時に署名検証コードで使用されるデフォルトのポリシーを変更できます。
管理者設定に基づいて、ユーザーは更新サイトのフィーチャーに署名する場合に使用した証明書の詳細に従って、信頼を判断できます。
破損した署名済みコンテンツが、インストールまたはプロビジョニングされないようにすることができます。

新しい Eclipse フィーチャーやプラグインを作成して署名すると、フィーチャーのインストールと更新時に、信頼されていないコンテンツへの応答を制御できます。

Lotus Notes インストーラに新しいフィーチャーを追加するには、次の手順を実行します。

1 Eclipse 更新サイトで使用できるように、新しいフィーチャー (カスタムまたはサードパーティのフィーチャー) とプラグインの JAR ファイルを作成します。JRE の JarSigner ツール、Eclipse、または他のサードパーティツールを使用します。

2 新しいフィーチャー (カスタムまたはサードパーティのフィーチャー) とプラグインの JAR ファイルに署名します。

3 JVM または他のサードパーティツールに組み込まれている KeyTool プログラムを使用して、Lotus Notes インストールメディアキットの deploy\.keystore.JCEKS.IBM_J9_VM.install ファイルに証明書を追加します。

メモ

:Lotus Notes インストールメディアキットの deploy ディレクトリにあるファイルのうち、「.KEYSTORE」で始まるファイルに、JAR ファイルへの署名に使用した証明書を追加します。

メモ現在、手動更新に使用される Lotus Notes のキーストアには、IBM コード署名証明書の相互認証が含まれていません。この相互認証は .KEYSTORE ファイルにのみ含まれており、インストールとアップグレード以外の目的では使用されません。

4 署名のあるフィーチャーとプラグインの JAR ファイルを Lotus Notes インストールキットの更新サイト (updateSite.zip\features と updateSite.zip\plugins) に追加します。

5 Lotus Notes インストールキットのインストールマニフェスト (deploy\install.xml) を変更し、サイトレジストリ (updateSite.zip\site.xml) を更新して新しいフィーチャーを組み込みます。

6 Lotus Domino Administrator を使用して、[セキュリティ設定] - [署名されたプラグイン] ページで Lotus Notes Client が使用するデフォルトの署名検証ポリシーを設定します。

メモ

インストールメディアキットを使用して更新している場合は、Lotus Domino のポリシーのほうが、Lotus Notes インストールメディアキット deploy\plugincustomization.ini ファイルにある設定よりも優先されます。

Lotus Domino のポリシーが、初期インストールに影響を与えることはありません。

7 Lotus Notes インストーラー setup.exe (Microsoft Windows) または setup.sh (Linux) を実行して、インストーラーをテストします。

8 インストールキット (インストールキットの deploy ディレクトリで更新したキーストアを含む) を導入するか、またはユーザーが使用できるようにします。

メモ

新しいフィーチャーを更新サイトに追加する場合は、更新が可能な場所に更新サイトの内容と deploy フォルダの内容を配置します。

ランタイム更新を実行する場合、Lotus Notes のキーストアは信頼の判別に使用されます。これには、コード署名証明書のインターネット相互認証が個人アドレス帳に存在している必要があります。管理者が設定したポリシー設定に基づいて、コード署名証明書が Lotus Notes の信頼ストアによって信頼されない場合にプロンプトが表示されることがあります。

IBM(R) Lotus(R) Expeditor でのアプリケーション開発について詳しくは、http://publib.boulder.ibm.com/infocenter/ledoc/v6r1/index.jsp の Expeditor インフォメーションセンターを参照してください。

Expeditor リリースが更新されている場合があるため、このコンテンツへの更新があるかどうかを確認してください。

関連項目

セキュリティポリシー設定文書を作成する

インストールマニフェストを使用して Lotus Notes のインストールをカスタマイズする

plugin_customization.ini ファイルを使用して信頼を検証する

Lotus Domino のポリシーを使用して信頼を検証する

カスタムまたはサードパーティのフィーチャーとプラグインをインストールして更新する

用語集

フィードバック ヘルプ または プロダクトユーザビリティ?

ヘルプの使い方

すべてのヘルプ項目

用語集