Certificate Requests データベースを作成する
作成するインターネット認証者ごとに、Certificate Requests データベース (CERTREQ.NSF) でサーバーのキーリングファイルを管理し、ユーザーがブラウザまたはメールからクライアント証明書を要求できるようにする必要があります。このデータベースには、システム管理プロセスに送信されたアクティブな認証要求と失効要求が格納されます。サーバーとクライアントは、ブラウザベースのインターフェースを使用して、証明書を要求し、発行された証明書を受け取ります。
このタスクについて
Certificate Requests データベースは、ネットワークのファイアウォールの外部にあるサーバーも含め、ドメイン内のどのサーバーにも格納できます。
Certificate Requests データベースを使用して認証要求を処理する方法の詳細については、関連情報を参照してください。
手順
- を選択し、Certificate Requests データベースを格納するサーバーを選択します。
- データベースタイトル (例: Certificate Requests) を入力します。
- ファイル名 (例: certreq.nsf) を入力します。
- [Certificate Requests] テンプレート (CERTREQ.NTF) を選択します。
- 「OK」をクリックします。Certificate Requests データベースが作成済みの場合、そのデータベースが開き、[データベースについて] の文書が表示されます。
- [データベースについて] の文書を閉じると、[Database Configuration] フォームが表示されます。
- [Database Administration] セクションで、次のフィールドに必要な情報を設定します。
表 1. [Database Administration] セクション フィールド
アクション
Supported CA
以下のようにしてください。
- [Server] フィールドに、インターネット認証者のホストとなるサーバーの名前を入力します。
- [Certifier] フィールドに、Certificate Requests データベースに関連付けるインターネット認証者の名前を入力します。
Supported certificate types
新しく作成したグループのオプションとして、
- [Client certificates only] - 認証者がクライアントのインターネット証明書を発行する場合は、これを選択します。TLS 用のサーバー・キー・リングを作成する場合は、このオプションを選択しないでください。このオプションを選択する場合は、クライアント要求をカスタマイズする必要があります。
- [Server certificates only] - 認証者がサーバーのインターネット証明書を発行する場合は、これを選択します。このオプションを選択する場合は、サーバー要求をカスタマイズする必要があります。
- [Both client and server certificates] - 認証者がクライアントとサーバーの両方のインターネット証明書を発行する場合は、これを選択します。このオプションを選択する場合は、サーバー要求とクライアント要求を両方ともカスタマイズする必要があります。
- オプション: [Client Request Customization] セクションで、次のフィールドに必要な情報を設定します。
表 2. [Client Request Customization] セクション フィールド
アクション
有効期間
このデータベースで生成されたクライアント要求について、有効期間として指定する年数を入力します。有効期間は、要求の送信によって開始されるものとします。デフォルトは 1 年です。
Key usages
このデータベースから生成されたクライアント認証要求で送信されるデフォルトのキー使用を選択します。デフォルト設定は Key Encipherment と Digital Signature ですが、クライアント S/MIME 証明書の場合はこれで十分です。
Extended key usages
このデータベースから生成されたクライアント認証要求で送信されるデフォルトの拡張キー使用を選択します。デフォルト設定は、Client Authentication と Email Protection です。
- オプション: [Server Request Customization] セクションで、次のフィールドに必要な情報を設定します。
表 3. [Server Request Customization] フィールド フィールド
アクション
有効期間
このデータベースで生成されたサーバー要求について、有効期間として指定する年数を入力します。有効期間は、要求の送信によって開始されるものとします。デフォルトは 1 年です。
Key usages
このデータベースから生成されたサーバー認証要求で送信されるデフォルトのキー使用を選択します。デフォルト設定は Key Encipherment と Digital Signature ですが、TLS サーバー証明書の場合はこれで十分です。
Extended key usages
このデータベースから生成されたサーバー認証要求で送信されるデフォルトの拡張キー使用を選択します。デフォルト設定は、Server Authentication です。
- [Processing method] で、システム管理プロセスに要求を送信する方法を選択します。
- [Manual] (デフォルト) - 認証要求に送信された要求を、さらに処理のためにシステム管理要求データベース (admin4.nsf) に送信する前に、RA がレビューして、各要求を個別に承認または拒否するようにしたい場合は、これを選択します。
- [Automatic] -システム管理要求データベースに送信された要求を管理者の介入なしに処理するには、これを選択します。要求は、認証ポリシーに従って、承認または拒否されます。この方法を選択すると、[Automatic Transfer Server] フィールドが表示されます。そのフィールドでは、システム管理プロセスを実行している、認証要求の自動転送先サーバーを指定する必要があります。注: [Automatic] を選択すると、管理者 (エージェントの署名者) は、サーバー上でメソッドと操作を制限なしで実行できるユーザーのグループのリストに表示されます。これは、サーバー文書の [セキュリティ] タブで設定できます。また、指定した転送サーバー上に、Certificate Requests データベースのレプリカが存在していなければなりません。
- [Mail notification] で、CA が認証要求を処理した後、メールによる通知を送信するかどうかを選択します。
- [Yes] (デフォルト) - CA が認証要求を処理した後、メールで要求者に通知する場合は、これを選択します。
- [No] - CA が認証要求を処理した後、メールで要求者に通知しない場合は、これを選択します。
- [保存して閉じる] をクリックします。