SSL ポートの設定

SSL プロトコルでは、暗号化されて整合性チェックが行われる通信チャネルと認証済みサーバー ID が常に提供されます。SSL サーバーを設定して、さまざまな形式のクライアント ID 認証を要求することもできます。

SSL の有効化は、プロトコルごとに行う必要があります。クライアント証明書の認証をサポートしていないインターネットプロトコルもあります。

SSL 認証用にポートを設定するには、次の操作を実行します。

  1. ポートを設定します。
  2. SSL だけを使用してサーバーにアクセスするようにユーザーに要求するか、SSL と TCP/IP の両方を使用してアクセスするように要求するかを決めます。

インターネットサイト文書を使用する場合は、ほとんどの SSL ポートパラメータを各プロトコルのインターネットサイト文書内で設定します。ただし、次の各設定は、インターネットプロトコルごとにサーバー文書内で設定する必要があります。TCP/IP ポートとステータス、SSL ポートとステータス。また、該当するプロトコルの TCP/IP ポートにサーバーアクセス設定を適用するかどうかも指定する必要があります。

サーバー認証だけを使用する

サーバー認証を行うと、データの暗号化とサーバー ID の認証が行われます。サーバー上のデータベースへのユーザー名によるアクセスを制御するには、名前とパスワードによる認証を設定します。サーバー認証だけを使用するように SSL を設定する場合は、次のことに注意してください。

  • サーバーには、Domino® CA またはサードパーティ CA の証明書が必要です。
  • クライアントは、信頼されたルートとしてマークされたサーバーの CA の証明書を持っていなければなりません。クライアントは、相互認証により、SSL サーバー証明書を直接信頼することもできます。
  • Notes® クライアントを使用している場合、Notes クライアントにサーバーの CA または SSL サーバーの証明書に対する相互認証が必要です。

クライアント証明書の認証を使用する

サーバー認証によるセキュリティに加えて、クライアント証明書の認証を使用すると、インターネット (x.509) クライアント証明書により、クライアント ID が検証されます。サーバー証明書とクライアント証明書の認証を使用すると、データベースの ACL で個々のクライアントのユーザー名を指定して、データベースへのアクセスを制御できます。クライアント証明書の認証で SSL を有効にする場合は、次のことに注意してください。

  • 前述のセクションで説明したサーバー認証要件を満たしてください。
  • クライアントは、Domino CA かサードパーティ CA の証明書を持っていなければなりません。
  • サーバーは、信頼されたルートとしてマークされたクライアントの CA の証明書を持っていなければなりません。
  • 個々のクライアントは、クライアント証明書の SSL パブリックキーがある Domino ディレクトリにユーザー文書を持っていなければなりません。