Domino CA を管理する

HCLDomino® 認証者の管理に関連するタスクは多数あります。CA プロセスを使用する認証者を設定すると HCLNotes® 認証とインターネット認証要求の承認と拒否を、登録機関として機能する管理者に委任できます。Domino の以前のバージョンで、CA プロセスを使用することにより、CA の管理に関連する手動タスクの多くが自動化されています。

Domino 認証機関管理者タスク

CAA は、ドメインのマスター Domino ディレクトリに対して [編集者] 以上のアクセス権を持つ必要があります。

認証者ごとに、CAA を 2 人以上指定しておくとよいでしょう。そうしておけば、一方が異動しても、すぐに対処できます。

注: デフォルトでは、認証者を作成した管理者は、その認証者の CAA と RA として自動的に指定されます。別の CAA を作成する場合、RA のロールが割り当てられないと、認証要求の承認や拒否を行うことができません。

Domino 認証機関の管理者 (CAA) が担当するタスクは、次のとおりです。

  • 認証者を作成し設定する。
  • 認証者を編集する。例えば、Notes 認証者の ID 復旧情報を編集できるのは、CA 管理者だけです。
  • 認証機関と登録機関の管理者の追加や削除、ユーザーに割り当てられている CA ロールと RA ロールの変更を実行する。

Domino 登録機関の管理者のタスク

登録機関 (RA) の管理者は、Notes 認証要求またはインターネット認証要求の承認または拒否、インターネット証明書の失効 (必要に応じて) を実行します。CA 管理者を登録機関にすることもできますが、RA のロールを別に設けると、Domino 管理者や CA 管理者からそれらのタスクの負荷を減らすことができます。さらに、Domino 管理者は、CA プロセスが有効になっている認証者ごとに、RA を 1 つまたは複数設定することもできます。

RA は、該当する認証者によって受け付けられた要求だけを承認します。CA の Issued Certificate List (ICL) データベースに格納されている CA 設定文書と CA 証明書プロフィール文書では、受け付け可能な要求について規定されています。文書の現在の有効なコピーも添付ファイルとして CA の認証者文書と共に保存されます。

認証者に証明書を発行してもらうために必要な手順を最小限にするために、Notes ユーザーを登録する Domino 管理者は、該当する Notes 認証者の RA としてもリストされている必要もあります。

Web サーバー管理クライアントを使用している場合、Notes ユーザーを登録するには、サーバーベースの認証機関を設定する必要があります。Web サーバー管理データベースが存在するサーバーだけでなく、Web サーバー管理クライアントも該当する認証者の RA としてリストされなければなりません。

Domino 登録機関 (RA) の管理者が担当するタスクは、次のとおりです。

  • インターネット証明書要求を承認または拒否する。
  • 証明書の対象者が異動した場合やキーが改ざんされている場合など、証明書を信頼できないと思われる場合に、その証明書を失効させる。
注: RA がユーザーを登録できるためには、RA はドメインのマスター Domino ディレクトリに対して [文書の作成] 権限と [User Creator] ロールの両方を持つ [作成者] 以上のアクセス権を持つ必要があります。これは、Notes ユーザーを登録するのに Domino Administrator で必要とされるアクセス権限と同じものです。