セキュリティ
CA キーのロールオーバーが必要になるのは、次のような理由です。
新しいキーが作成されて古いキーがアーカイブされる期間は、CA キーロールオーバーの処理に使用する方法によって異なります。認証を行う認証者の ID ファイルが CA キーロールオーバープロセスに使用される場合は、新しいキーの作成と古いキーのアーカイブはただちに実行されます。しかし、CA プロセスが使用される場合、証明書を発行するためにロールオーバー対象 CA の ID ファイルが今後いずれかの時点で開かれるまで、この最終的な手続きは行われません。証明書が発行されると、登録サーバー上のディレクトリで新しい証明書が検索され、認証者 ID ファイルに追加されます。
ロールオーバー証明書認証者キーロールオーバーをサポートするために、Lotus Domino には、ロールオーバー証明書という新しい種類の証明書が追加されました。切り替え証明書はエンティティ自体によって発行されます。階層付きの証明書には、単一の発行者名、単一の被認証者名、単一の被認証者キーがあります。ロールオーバー証明書には、単一の名前 (発行者であり被認証者でもある) と 2 つの被認証者キーがあります。そのうちの 1 つのキーは、証明書に署名するために使用され、被認証者名に示された認証者がもう 1 つのキーを正式に所有していることを証明します。 通常、キーがロールオーバーされると、2 つのロールオーバー証明書が発行されます。1 つの証明書は古いキーによって署名され、新しいキーが有効であることを証明します。もう 1 つの証明書は新しいキーによって署名され、古いキーが有効であることを証明します。それぞれの証明書に独自の有効期限が設定されます。
ロールオーバー証明書は、古いキーに対して発行される証明書の有効期限を制限するために不可欠です。前のキーに脆弱性があるか、または少なくともキーが古くなったために脆弱性がある可能性が無視できない程度まで高まった場合などに、キーをロールオーバーします。このような場合は、ロールオーバー証明書に指定する有効期限を制限することで、前に発行された子証明書の存続期間を制限できます。そのためには、十分に短い有効期限をロールオーバー証明書に指定します。
認証者ロールオーバープロセス認証者をロールオーバーすることは、組織全体に影響を与えます。認証者をロールオーバーした場合は、すべてのユーザー ID とサーバー ID、それにその認証者によって発行された相互認証をロールオーバーまたは再認証する必要があります。 ユーザーのサイト全体をロールオーバーする最適な方法は、最上位から開始して下位へと処理することです。最初にルート CA をロールオーバーし、次に OU CA をロールオーバーします。その後、サーバーキーとユーザーキーをロールオーバーします。ユーザーキーまたはサーバーキーを親 CA より前にロールオーバーすると、新しいユーザーキーまたはサーバーキーを 2 回認証することが必要になります。1 回は現在の (古い) CA キーを使用して認証し、その後、CA キーロールオーバー時に再度認証することになります。余分な再認証は時間と労力に関してコストがかかります。ユーザーとサーバーの再認証には、管理者の介入が必要であり、ユーザー文書とサーバー文書の複製も必要です。
メモ 8.0 より前のリリースの IBM(R) Lotus Notes(R) を使用している場合は、CA ロールオーバー証明書を受け入れることができません。そのため、複数のリリースが混在するクライアント環境では、すべてのユーザーが Lotus Notes 8 クライアントにアップグレードした後、CA キーロールオーバーを進める必要があります。
1 最初に、認証者に新しいキーペアを割り当てる必要があります。
2 認証者によって発行されたサーバー ID をロールオーバーするか、またはサーバー ID を再認証します。
3 認証者によって発行されたユーザー ID をロールオーバーするか、またはユーザー ID を再認証します。
4 認証者によって署名された相互認証を再認証します。