クライアントの TLS と S/MIME

クライアントでは、Domino® 認証機関 (CA) アプリケーションかサードパーティ CA を使用して、TLS と S/MIME の接続を保護するための証明書を取得できます。

TLS を使用したクライアントとサーバーの認証

Notes® と他のインターネットクライアントは、TLS プロトコルを使用して、データの暗号化、サーバー ID の認証などを行います。また、Notes® や他のインターネットクライアントが Web サーバーや LDAP サーバーなどのインターネットサーバーに接続する場合は、クライアント ID の認証も行います。

サーバーでは、TLS はプロトコルごとに設定します。すべてのプロトコルで TLS を有効にするか、一部のプロトコルで TLS を有効にし他のプロトコルでは有効にしないことを選択できます。たとえば、TLS を IMAP、POP3、SMTP などのメールのプロトコルで有効にし、HTTP では無効にすることもできます。

サーバー認証により、クライアントは接続先サーバーの ID を確認し、間違って他のサーバーにアクセスすることを防げます。

クライアント証明書の認証を使用すると、サーバー管理者はサーバーにアクセスしているクライアントを制御したり、ID に基づいてアプリケーションへのアクセスを制御できます。たとえば、あるデータベースへの [編集者] アクセス権を Alan Jones に与え、他のデータベースユーザーはアクセスできないようにする場合は、アプリケーションデータベースのアクセス制御リストに Alan Jones を追加して [編集者] を設定し、Anonymous には [なし] を設定します。

クライアント証明書の認証を使用する Notes® クライアントと他のインターネットクライアントの場合は、Notes® クライアントでは Notes® ID ファイルに、インターネットクライアントではローカルファイルにインターネット証明書が格納されます。その証明書には、パブリックキー、名前、有効期限、デジタル署名が記載されています。対応するプライベートキーは、ID ファイルに格納されますが、証明書とは別に格納されます。Notes® クライアントの場合は、Domino® ディレクトリにもクライアント証明書が格納されるため、他のユーザーもパブリックキーにアクセスできます。

Notes® とインターネットクライアントは、Domino® 認証機関またはサードパーティの認証者からインターネット証明書を取得できます。

クライアントの設定方法は、サーバーがクライアント証明書の認証を要求するかどうかによって異なります。

システム管理者は、クライアント証明書の認証が必要かどうかを十分に考慮してください。サーバーにアクセスするインターネットユーザーを識別する必要がない場合は、クライアント認証を設定する必要はありません。インターネット認証を要求すると、Web サイトのホストサーバーなどの場合は、ユーザーがサーバーにアクセスできなくなるケースもあります。インターネット証明書を要求する場合、ユーザーは、証明書の取得とクライアント証明書の認証の設定を別途実行する必要があります。

注: ロケーション文書内で [TLS のサイト証明を受け入れる] 設定を有効にすると、Notes® クライアントで、相互認証もサーバー認証もすべて無視できるようになります。ユーザーは、TLS を使用してサーバーに接続する際、相互認証をその場で作成するよう選択することもできます。

S/MIME を使用してメールを保護する

S/MIME は、クライアントがメールに署名し、暗号化したメールをインターネットを介して S/MIME プロトコルもサポートするメールアプリケーション (例えば、Microsoft Outlook Express® など) のユーザーへ送信するときに使用されるプロトコルです。Notes® クライアントは、連絡先、Domino® ディレクトリ、LDAP ディレクトリ内のインターネット証明書に格納されているパブリックキーを使用して、メールを暗号化します。

暗号化されたメールは、転送中に権限のないユーザーによって読まれることはありません。電子的に署名されたメールは、そのメールに署名したユーザーが署名内の証明書に関連付けられたプライベートキーにアクセスしたことを示しています。