ポートを TLS 用に構成
サーバー認証だけを使用するようにポートを設定することも、サーバー認証とクライアント認証の両方を使用するようにポートを設定することもできます。
このタスクについて
インターネットサイト文書を使用する場合は、関連情報にある、インターネットサイト文書のセキュリティの設定に関するトピックを参照してください。
手順
- HCL Domino® Administrator から、 をクリックしてサーバー文書を開きます。
- タブをクリックします。
- 以下のフィールドに入力します。
表 1. [インターネットポート] フィールド フィールド
Enter
TLS キー・ファイル名
以下のいずれかを指定します。- certstore.nsf 構成を使用する場合は、サーバーのホスト名またはサーバーの certstore.nsf に存在するその他の証明書を指定します。
- certstore.nsf 構成を使用しない場合は、kyr ファイルを指定します。
注: クライアント証明書認証を使用して、Domino サーバーがアウトバウンド TLS 接続 (LDAPS 要求など) を行う場合は、それらのアウトバウンド接続に使用される資格情報のホスト名またはキー・リングを指定します。注: Domino® は、IIOP ではこのフィールドを使用しません。IIOP は別のキーリングファイルを使用します。IIOP キーリングファイルのファイル名は変更できません。TLS サイトの証明書を受け入れる
新しく作成したグループのオプションとして、
- [はい] - Domino® サーバーがインターネットサーバーと共通の証明書を持っていない場合でも、このサーバーがサイト証明書を受理し、TLS を使用してインターネットサーバーにアクセスできるようになります。
- [いいえ] - このサーバーがサイト証明書を受理することを禁止します。
期限切れの TLS 証明書を受け入れる
新しく作成したグループのオプションとして、
- [はい] - クライアント証明書の有効期限が過ぎている場合でも、クライアントがサーバーにアクセスできるようになります。
- [いいえ] - 期限切れのクライアント証明書を使用してサーバーにアクセスできなくなります。
- 設定したいプロトコルのタブをクリックし、次のフィールドに必要な情報を設定します。
表 2. [プロトコル] フィールド フィールド
Enter
TLS ポート番号
Domino® が TLS 要求を listen するポート番号を入力します。[インターネットサイト] ビューを使用している場合でも、[Web 設定] ビューを使用している場合でも、この値はここで設定します。
注: デフォルトのポート番号を変更すると、クライアントの設定も変更しなければなりません。通常、デフォルトのポート番号を変更するのは、予約ポート番号をファイアウォールプロキシが使用している場合だけです。TLSポート・ステータス
ポートで TLS 接続を使用できるようにするには [有効] を選択します。[インターネットサイト] ビューを使用している場合でも、[Web 設定] ビューを使用している場合でも、この値はここで設定します。
注: Domino® サーバーは、SMTP サーバーにも SMTP クライアントにもなりますから、[TLS ポートステータス] フィールドで、2 つのオプションのいずれも選択できます。Domino® サーバーを、TLS が使用できる SMTP サーバーとして設定するには、[メール] タブの [メール (SMTP インバウンド)] フィールドで [有効] を選択します。クライアント認証
新しく作成したグループのオプションとして、
- [いいえ] - クライアント認証を使用しません。
- [はい] - クライアント認証を使用します。
注: SMTP と IIOP は、クライアント認証をサポートしていません名前とパスワード
新しく作成したグループのオプションとして、
- [いいえ] - 名前とパスワードによる認証を使用しません。
- [はい] - 名前とパスワードによる認証を使用します。
匿名
新しく作成したグループのオプションとして、
- [はい] - 匿名アクセスを許可します。サーバー認証だけを使用してユーザーに接続させる場合は、[はい] を選択しなければなりません。
- [いいえ] - 匿名アクセスを禁止します。
[匿名] と [クライアント認証] の両方に [はい] を選択した場合、Domino® では最初にクライアントの認証が試行されます。これも失敗すると、Domino® では匿名接続が試行されます。
[匿名]、[クライアント認証]、[名前とパスワード] で [はい] を選択すると、Domino® では最初にクライアント証明書を使用してクライアントの認証が試行されます。これが失敗すると、Domino® では名前とパスワードによる認証が試行されます。これも失敗すると、Domino® では匿名接続が試行されます。
名前の検索を実行できるように、LDAP では匿名 TLS 接続を許可するように設定する必要があります。
IMAP、POP3、SMTP では、匿名アクセスをサポートしていません。