サーバーベース CA の認証者を作成する
組織の HCL Notes® 認証者とインターネット認証者を追加作成して、CA プロセスを使用するように設定できます。
Notes® 認証者を作成するには
このタスクについて
Notes® 認証者の作成を行ってから CA プロセスに移行します。
手順
- 組織認証者または組織単位認証者を登録します。
- 認証者を CA プロセスに移行します。
インターネット認証者を作成するには
このタスクについて
インターネット認証者の場合は CA プロセスを使用して作成と登録が行われます。
手順
- HCL Domino® Administrator で、[設定] をクリックします。
- [ツール] ペインで、 をクリックします。
- [インターネット認証機関の登録] ダイアログボックスで、[CA プロセスを使用するインターネット認証機関を登録する] を選択します。
- [新規インターネット認証機関の登録] ダイアログボックスで [基本] をクリックします。
- 認証機関名を作成します。共通名を指定し、それ以外のコンポーネントを 1 つ以上指定します。
- 共通名 -- 認証機関の名前を入力します。
- 組織単位 (オプション) -- 認証機関の組織単位の名前を入力します (該当する組織単位がある場合のみ)。
- 組織 (オプション) -- 認証機関の組織の名前を入力します。
- 市町村 (オプション) -- 組織が存在する市町村を入力します。
- 都道府県 (オプション) -- 組織が存在する都道府県名を入力します (合衆国の場合は、省略形でなく完全な州名を入力)。
- 国 (オプション) -- 組織が存在する国の 2 文字の省略形を入力します。
- CA プロセスが実行されているサーバーを選択します。このサーバーは、ICL データベースが作成されるサーバーと同じサーバーです。
- オプション: デフォルトの ICL データベース名を変更します (例:icl\icl_Renovations.nsf)。
注: デフォルト値の使用を推奨します。
- [認証者 ID の暗号化に使用する] では、次のいずれか 1 つを選択します。
表 1. 認証者 ID 暗号化オプション オプション
セキュリティのレベル
必要なパスワード
必要なアクション
サーバー ID
低
None
None
アクティブにするために必要なパスワード
中
サーバー ID のパスワード
パスワードの使用を選択する場合、認証者をアクティブにする必要があります。次の tell コマンドを使用します。
tell ca activate passwordロック ID
高
登録済みのユーザー ID とパスワード
認証者 ID をロック ID で暗号化することを選択すると、ロックを解除するまで、認証者がロックされます。次の tell コマンドを使用します。
tell ca unlockidfilepassword注: 認証者 ID をパスワードで保護されたサーバー ID で暗号化すると、該当する認証者だけが保護されます。ロック ID を使用する場合は、それを複数の認証者で使用することもできます。その場合は、該当する認証者のロックとロック解除を同時に実行する必要があります。 - オプション: [管理者] リストで、追加する CAA と RA の名前を入力します。CA を作成する管理者の名前は、CA 管理者と RA 管理者のリストに自動的に追加されます。
- [認証] タブで、次のフィールドに必要な情報を設定します。
表 2. 入力が必要な [証明書] タブのフィールド フィールド
アクション
CRL 配布ポイント拡張を含む
認証者 CRL の場所を特定する属性を有効にします。証明書が発行された後でも認証を失効させることができるため、このオプションを使用することを推奨しますこれはデフォルトで有効になっています。
認証の有効性をさかのぼって適用する
認証の有効期間とは、CA が認証のステータスに関する情報を保持することを保証する期間です。証明書が有効となる日付が証明書の作成日と異なる場合には、認証の有効期間をさかのぼることができます。このオプションは、デフォルトで有効です。日付の入力はできません。
証明書の有効期間
証明書のデフォルト期間、最短期間、最長期間を月数で入力します。
キー使用
この認証者のキー使用拡張を選択します。
注: 作成できる証明書の種類は、エンドエンティティ証明書のみで、デフォルトではこのオプションが使用可能となっています。これは、この認証者が発行したインターネット証明書を、証明書のユーザーや、証明書の対象者であるエンドユーザーシステムに適用することを意味しています。 - [その他] をクリックした後、[認証者 ID のローカルコピーの作成] をクリックします。そして、認証者 ID のファイル名とパスワードを入力し、[OK] をクリックします。認証者 ID のコピーがデフォルトパス ...\notes\data\ids\certs\cert.id に保存されます。別のパスを選択することもできます。認証者 ID のこのローカルコピーは、認証者 ID が破損した場合に、認証者を再作成するためのバックアップとして使用します。
- 以下のフィールドに入力し、この認証者の証明書失効リストを指定します。
表 3. [証明書失効リスト] フィールド フィールド アクション CRL の有効期間 (日) 指定した CRL が有効である期間 (日数) を入力します。この期間は、CRL の発行間隔より長くしてください。そうしておけば、CRL は常に有効です。 CRL の時間間隔 (日) CRL を発行する間隔 (日数) を入力します。 - 以下のフィールドに入力し、この認証者のキーと認証者の証明書情報を指定します。
表 4. [キーと認証者の証明書] フィールド フィールド アクション 署名アルゴリズム 証明書の署名の暗号化に使用するアルゴリズムを選択します。 キーの長さ 暗号化に使用するキーの長さを入力します。この設定により、暗号キーの任意の値を表現するのに必要なビット数が決まります。キーの長さが長いほど、暗号化されたテキストの暗号化を解除するのが困難になります。 認証の有効期限 (オプション) 証明書のデフォルトの有効期限を変更します。 - 次のフィールドに必要な情報を設定して、この認証者の PKIX 別名情報を指定します。
表 5. [認証者の PKIX 別名] 情報フィールド フィールド アクション タイプ 使用する別名の種類を入力します。 値 使用する別名を入力します。 注: PKIX の別名は、Notes® の別名とは異なります。Notes® の別名は、ユーザー名の外国語バージョンです。 - 「OK」をクリックします。
タスクの結果
次のタスク
次の操作を実行します。