インターネット認証機関を設定する
セキュリティプランニングにおける非常に重要な分野は、認証機関でインターネット証明書を発行するように設定するかどうか、また発行する場合はどのような方法で設定するかということです。認証機関 (CA) または認証者とは、デジタル証明書の発行と保守を担当する信頼されたシステム管理ツールのことです。証明書は、ユーザー、サーバー、組織の身元確認を行うためのものです。ユーザー、サーバー、組織は、証明書を使用すると、TLS を使用して通信やメールの交換を実行することが可能になります。証明書には、認証機関の電子署名が付けられます。これにより、証明書の受信者は、証明書を所持しているユーザーがその証明書で指定されているエンティティであることを確認することができます。
認証機関は、信頼されたルートの証明書も発行できます。それにより、異なる CA によって作成された証明書を持つクライアントとサーバーが互いにやり取りすることが可能になります。
組織に適したインターネット認証機関を選択する
組織に適したインターネット認証機関を設定する際、いくつかのオプションがあります (以降、このトピックでは、認証機関という用語を「インターネット」認証機関の意味で使用します)。VeriSign などのサードパーティの商用認証機関を使用することもできますし、Domino® の 2 種類のインターネット認証機関の 1 つを使用することもできます。どちらの種類の認証機関の場合でも、利点と欠点があります。そのため、どれを使用するかは、組織の業務要件と、認証機関の管理に投入できる時間やリソースに従って判断する必要があります。
インターネット認証機関:Domino® とサードパーティの比較
インターネット認証機関の種類 |
利点 |
---|---|
Domino® 認証者 |
|
サードパーティの認証機関 (VeriSign、RSA など) |
|
Domino® インターネット認証機関: サーバーベースの認証機関と Domino® 5 の認証機関との比較
サーバーベースの CA プロセスを使用する Domino® 認証機関を設定するか、CA キーリングを使用する Domino® 5 認証機関を設定するかを選択することができます。
Domino® インターネット認証機関の種類 |
利点 |
---|---|
サーバーベースの認証機関 |
|
Domino® 5 認証機関 |
|
1 つのドメイン内で両方の種類の Domino® インターネット CA を使用する
1 つのドメイン内で、両方の種類の認証機関 (CA プロセスと CA キーリング) を使用することができます。ただし、1 つの認証機関がキーリングと CA プロセスの両方を使用してインターネット証明書を発行することがないよう、十分注意してください。CA プロセスが有効な認証機関は、自分が発行する証明書を発行済み証明書リスト内でトラッキングします。これは、1 つのドメイン内のすべてのサーバーからアクセスできるデータベースです。一方、キーリングを使用する認証機関は、使用されたすべてのクライアント上でログを作成します。そのため、発行済み証明書がまとまって記載されているリストはありません (部分的なリストが複数存在するだけです)。したがって、CA プロセスを使用して発行されたすべての証明書は、CA キーリングでは認識されません。同様に CA キーリングファイルを使用して作成されたすべての証明書は、CA プロセスでは認識されません。
サーバーベースの認証機関ではインターネット認証機関を失効させることが可能なため、このことは、特にインターネット認証機関では問題になります。つまり、インターネット証明書を失効させるには、該当する証明書を ICL 内で選択する必要があります。もともとキーリングを使用して発行された証明書の場合、ICL に表示されないため、失効させることができません。
そのため、各認証機関に対しては CA プロセスか CA キーリングかのいずれか一方を選択して運用することを強く推奨します。