クライアントの SSL と S/MIME
クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、SSL と S/MIME の接続を保護するための証明書を取得できます。
SSL を使用したクライアントとサーバーの認証
Notes® と他のインターネットクライアントは、SSL プロトコルを使用して、データの暗号化、サーバー ID の認証などを行います。また、Notes や他のインターネットクライアントが Web サーバーや LDAP サーバーなどのインターネットサーバーに接続する場合は、クライアント ID の認証も行います。
サーバーでは、SSL はプロトコルごとに設定します。すべてのプロトコルで SSL を有効にすることも、特定のプロトコルだけで SSL を有効にすることもできます。たとえば、SSL を IMAP、POP3、SMTP などのメールのプロトコルで有効にし、HTTP では無効にすることもできます。
サーバー認証により、クライアントは接続先サーバーの ID を確認し、間違って他のサーバーにアクセスすることを防げます。
クライアント証明書の認証を使用すると、サーバー管理者はサーバーにアクセスしているクライアントを制御したり、ID に基づいてアプリケーションへのアクセスを制御できます。たとえば、あるデータベースへの [編集者] アクセス権を Alan Jones に与え、他のデータベースユーザーはアクセスできないようにする場合は、アプリケーションデータベースのアクセス制御リストに Alan Jones を追加して [編集者] を設定し、Anonymous には [なし] を設定します。
クライアント証明書の認証を使用する Notes クライアントと他のインターネットクライアントの場合は、Notes クライアントでは Notes ID ファイルに、インターネットクライアントではローカルファイルにインターネット証明書が格納されます。その証明書には、パブリックキー、名前、有効期限、デジタル署名が記載されています。対応するプライベートキーは、ID ファイルに格納されますが、証明書とは別に格納されます。Notes クライアントの場合は、Domino ディレクトリにもクライアント証明書が格納されるため、他のユーザーもパブリックキーにアクセスできます。
Notes とインターネットクライアントは、Domino 認証機関またはサードパーティの認証者からインターネット証明書を取得できます。
クライアントの設定方法は、サーバーがクライアント証明書の認証を要求するかどうかによって異なります。
システム管理者は、クライアント証明書の認証が必要かどうかを十分に考慮してください。サーバーにアクセスするインターネットユーザーを識別する必要がない場合は、クライアント認証を設定する必要はありません。インターネット認証を要求すると、Web サイトのホストサーバーなどの場合は、ユーザーがサーバーにアクセスできなくなるケースもあります。インターネット証明書を要求する場合、ユーザーは、証明書の取得とクライアント証明書の認証の設定を別途実行する必要があります。
S/MIME を使用してメールを保護する
S/MIME は、クライアントがメールに署名し、暗号化したメールをインターネットを介して S/MIME プロトコルもサポートするメールアプリケーション (例えば、Microsoft™ Outlook Express® など) のユーザーへ送信するときに使用されるプロトコルです。Notes クライアントは、連絡先、Domino ディレクトリ、LDAP ディレクトリ内のインターネット証明書に格納されているパブリックキーを使用して、メールを暗号化します。
暗号化されたメールは、転送中に権限のないユーザーによって読まれることはありません。電子的に署名されたメールは、そのメールに署名したユーザーが署名内の証明書に関連付けられたプライベートキーにアクセスしたことを示しています。