TLS 暗号制限の変更

TLS では、パブリックキー、プライベートキー、セッションで決定するセッションキーが使用されます。どの TLS 証明書のセットでも、パブリックキーとプライベートキーのペアを持ち、証明書の所有者がネットワーク上で自分自身を識別したり、S/MIME を使用してメッセージを暗号化しメッセージに署名したりすることを可能にする X.509 証明書があります。証明書には、キーペアのうち、パブリックキーだけが含まれます。秘密キーは、 Notes ®クライアントの場合は ID ファイルに保存され、TLS サーバーの場合はキー リング ファイルまたは cerstore.nsf データベースに保存されます。TLS サーバーの場合は、キーリングファイルまたは cerstore.nsf データベースに格納されます。詳細については、 「ACME アカウントとホスト キーの ECDSA 暗号化サポート」を参照してください。

このタスクについて

セッションキーは、ハンドシェーク時にネゴシエーションによって決定されます。ハンドシェークの主な目的は、セッションキーを生成することと、クライアントでサーバーを識別することです。たとえば、暗号 ECDHE_RSA_WITH_AES_256_GCM_SHA384 256 ビットのセッション キーと RSA サーバー キーのペアを使用します。暗号 ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 128 ビットのセッション キーと ECDSA サーバー キーのペアを使用します。ECDHE で始まる暗号は、前方秘匿に ECDHE を使用する TLS 1.2 暗号でサポートされる 2 つの新しい曲線で説明されているように、楕円曲線テクノロジーを使用して前方秘匿性を提供します。

インターネット・プロトコルで使用される TLS 暗号を制限することができます。構成パラメーターが設定されていない場合は、その Domino サーバーに対して TLS 暗号のデフォルト・セットが使用されます。既定の TLS 暗号は、現在のセキュリティーのベスト・プラクティスに基づいてリリースごとに更新されるため、ほとんどの管理者はデフォルトの暗号を使用することをお勧めします。

TLS 暗号を設定するには、 Domino ®サーバーでのインターネット プロトコルの設定方法に応じて、次の 2 つの方法があります。

  • インターネットサイト文書を使用する場合。インターネットサイト文書を使用する場合は、TLS 暗号の制限をプロトコルごとに個別指定できます。
  • サーバー文書を使用する場合。

インターネットサイト文書内での TLS 暗号に関する制限の変更の詳細については、関連リンクにある「インターネットサイト文書のセキュリティを設定する」を参照してください。

サーバー文書で TLS 暗号に関する制限を変更するには

手順

  1. Domino ® Administrator で、 [設定]をクリックし、 Domino ®ディレクトリ内のサーバー文書を開きます。
  2. [ポート] > [インターネット ポート] > [Web]をクリックします。
  3. [TLS 暗号] フィールドで [修正] をクリックします。使用できる TLS の暗号仕様のリストが表示されます。
  4. 暗号仕様を選択して、[OK] をクリックします。
  5. 文書を保存して閉じます。