認証機関キーロールオーバー
HCLDomino® 管理者は、新しいパブリックキーとプライベートキーのセットを Domino 認証機関 (CA) に割り当てることができます。これらのキーは、OU とその組織内のサーバーとユーザーを認証するために使用されます。新しいキーを割り当てるプロセスは、キーロールオーバーと呼ばれます。
このタスクについて
CA キーのロールオーバーが必要になるのは、次のような理由です。
- 現在のキーが短いため十分な暗号化ができない。キーを長くすることで安全性が高まり、不正な変更に対する脆弱性が減少します。CA キーは 2048 または 4096 ビットの長さにすることが理想的です。
- 現在のキーが古すぎる。Current® Domino CA キーは、多くの場合 10 年以上経過しています。キーの存続期間を短くすることが一般的に推奨されます。ロールオーバー時にキーの存続期間を指定できます。
- 現在のプライベートキーの値に脆弱性がある。
管理者が Domino CA に新しいキーのセットを割り当てると、新しいキーが作成されます。作成されたキーは自己認証され、最上位の認証者 ID ファイルで ID ファイルの保留キー領域に追加されます。前に使用していたキーは、ID ファイルのアーカイブキー領域に追加され、新しいキーと古いキーをバインドするロールオーバー証明書が、ID ファイルのロールオーバーの認証領域に追加されます。
新しいキーが作成されて古いキーがアーカイブされる期間は、CA キーロールオーバーの処理に使用する方法によって異なります。認証を行う認証者の ID ファイルが CA キーロールオーバープロセスに使用される場合は、新しいキーの作成と古いキーのアーカイブはただちに実行されます。ただし、CA プロセスが使用される場合、証明書を発行するためにロールオーバー対象 CA の ID ファイルが今後いずれかの時点で開かれるまで、この最終的な手続きは行われません。証明書が発行されると、登録サーバー上のディレクトリで新しい証明書が検索され、認証者 ID ファイルに追加されます。
ロールオーバー証明書
このタスクについて
認証者キーロールオーバーをサポートするために、Domino には、ロールオーバー証明書という新しい種類の証明書が追加されました。切り替え証明書はエンティティ自体によって発行されます。階層付きの証明書には、単一の発行者名、単一の被認証者名、単一の被認証者キーがあります。ロールオーバー証明書には、単一の名前 (発行者であり被認証者でもある) と 2 つの被認証者キーがあります。そのうちの 1 つのキーは、証明書に署名するために使用され、被認証者名に示された認証者がもう 1 つのキーを正式に所有していることを証明します。
通常、キーがロールオーバーされると、2 つのロールオーバー証明書が発行されます。1 つの証明書は古いキーによって署名され、新しいキーが有効であることを証明します。もう 1 つの証明書は新しいキーによって署名され、古いキーが有効であることを証明します。それぞれの証明書に独自の有効期限が設定されます。
ロールオーバー証明書は、古いキーに対して発行される証明書の有効期限を制限するために不可欠です。前のキーに脆弱性があるか、少なくともキーが古くなったために脆弱性がある可能性が無視できない程度まで高まった場合などに、キーをロールオーバーします。このような場合は、ロールオーバー証明書に指定する有効期限を制限することで、前に発行された子証明書の存続期間を制限できます。そのためには、十分に短い有効期限をロールオーバー証明書に指定します。
認証者ロールオーバープロセス
このタスクについて
認証者をロールオーバーすることは、組織全体に影響を与えます。認証者をロールオーバーした場合は、すべてのユーザー ID とサーバー ID、それにその認証者によって発行された相互認証をロールオーバーまたは再認証する必要があります。
ユーザーのサイト全体をロールオーバーする最適な方法は、ルート証明書から開始して、階層内の下位へと処理していくことです。最初にルート CA をロールオーバーし、次に OU CA をロールオーバーします。その後、サーバーキーとユーザーキーをロールオーバーします。ユーザーキーまたはサーバーキーを親 CA より前にロールオーバーすると、新しいユーザーキーまたはサーバーキーを 2 回認証することが必要になります。1 回は現在の (古い) CA キーを使用して認証し、その後、CA キーロールオーバー時に再度認証することになります。余分な再認証は時間と労力に関してコストがかかります。ユーザーとサーバーの再認証には、管理者の介入が必要であり、ユーザー文書とサーバー文書の複製も必要になるためです。
手順
- 最初に、認証者に新しいキーペアを割り当てる必要があります。
- 認証者によって発行されたサーバー ID をロールオーバーするか、サーバー ID を再認証します。
- 認証者によって発行されたユーザー ID をロールオーバーするか、ユーザー ID を再認証します。
- 認証者によって署名された相互認証を再認証します。