IBM Support

(参考) IBM Domino サーバー 9.x での SHA-2 サポートについて

技術情報(FAQs)


質問

IBM Domino サーバー9.x において、SHA-2 をサポートする計画はありますか。

回答

現在できること
  • SHA-2 署名 - IBM Notes/Domino Social Edition 9.0 は SHA-2 を利用できるように暗号ライブラリを更新済みです。現時点では X.509 証明書の署名検証と S/MIME 署名付きメールで SHA-2 が利用可能です。
  • IHS Proxy を利用する - IBM Domino サーバーは SHA-2 と TLS (1.2 まで) をサポートする IBM HTTP Server (IHS) をフロントエンドに利用することができます。IHS をフロントに配置して HTTP トラフィックを処理させる場合、IBM Domino サーバーと同一のマシンで IHS を利用する構成も、既存の IBM Domino サーバーとは異なるマシンで IHS を利用する構成も利用できます。なお、Windows 版 IBM Domino 9.x には IHS が同梱されています。


SSL 3.0 脆弱性対策でリリースされたパッチについて
POODLE と呼ばれる SSL 3.0 の脆弱性対策のため、TLS 1.0 が利用できるようになるパッチがリリースされました。詳細な情報は、以下の文書を参照してください。
「SSL 3.0 の脆弱性に対する IBM Domino への影響について」(Technote #1687802)

SHA-2 は IBM Domino 9.0 および 9.0.1 Fix Pack 2 において、上の Technote に記載の Interim Fix にてサポートされています。
  • Interim Fix を適用することによって、IBM Domino 管理者が IBM Domino 9.x 上で稼動する HTTP、SMTP、LDAP、POP、IMAP で SHA-2 証明書が利用できるようになります。SHA-2 証明書を適切に配置することによって、ユーザーは、Web ブラウザからのアクセスで、IBM iNotes、XPages や従来の IBM Domino Web アプリケーション、IBM Sametime に対して SHA-2 を利用することができるようになります。
  • 一度 Interim Fix を適用し、IBM Domino 管理者が SHA-2 を適切に配置した環境では、Web ブラウザを利用するユーザーはセキュリティ警告を受け取ることはありません。IBM Domino 管理者は、サードパーティ製の SHA-2 証明書をインポートすることもできますし、IBM Domino Administrator を利用して SHA-2 証明書を発行することもできるようになります。
  • 上述した機能に関しては、暗号化の新機能となるため、IBM Domino 9.x のみ有効になりますます。現時点において、IBM Domino 8.5.x で SHA-2 をサポートする予定はありません。


SHA-2 を利用する方法について
手順 1: IBM Notes 9.0.1 Fix Pack 2 Interim Fix 2 をダウンロードし、IBM Domino Administrator クライアントに導入します。この Interim Fix 2 を適用することで、KYRTool が利用できるようになり、Certificate Requests Database (certreq.nsf) でも SHA-2 証明書を作成できるようになります。IBM Domino を認証機関 (CA) として使用して SSL を構成する手順の詳細については、以下の文書を参照してください。
「(参考) CA プロセスを使用して SSL で Lotus Domino サーバーをセキュアにするためのクイックガイド」(Technote #1624016)

注意:Interim Fix が適用されていない場合、 Technote #1624016 の 手順 17 "Merge Trusted Roots" で "Certificate signature does not match contents" エラーが発生します。

手順 2: KYRTool をダウンロードし、同じ IBM Domino Administrator クライアントに導入します。まず最初に zip ファイルを解凍し、w32 ディレクトリに存在する kyrtool.exe を Notes プログラムディレクトリにコピーします。後述する wiki ページに KYRTool の詳細な利用方法が記載されています。

手順 3: IBM Domino サーバーに 9.0.1 Fix Pack 2 Interim Fix 1 もしくは 9.0 Interim Fix 6 を適用し、CA タスクを稼動させます。

より詳細な手順については、以下のリンク先文書を参照してください。


Q&A
Q1: IBM Domino 9.x にインポートした SHA-2 証明書を IBM Domino 8.5.x サーバーでのキーリングファイルとして利用することはできますか?
IBM Domino 8.5.x には SHA-2 暗号アルゴリズムが実装されていないため、利用することができません。 Technote #1687802 に記載の Interim Fix を適用した場合であっても、SHA-2 キーリングを利用できるのは IBM Domino 9.x 以降のバージョンであり、IBM Domino 8.5.x 以下のバージョンで利用することはできません。

Q2: SHA-2 をサポートするための IBM Domino 8.5.x 用の Hotfix は提供されますか?
IBM Domino 8.5.x 以下のバージョンに対しては、SHA-2 暗号アルゴリズムが実装されていないため、Hotfix を提供することはできません。

Q3: IBM Notes クライアントに与える影響について教えてください
  • Notes プリファレンスや、ロケーション文書で指定する Web ブラウザについて、オペレーティング・システムのデフォルトとして設定しているブラウザを利用している場合は影響ありません。
  • IBM Notes クライアントに組み込まれている埋め込みブラウザは、SHA-2 および TLS をサポートしていません。そのため、Notes プリファレンスおよびロケーション文書にて、オペレーティング・システムのデフォルトとして設定しているブラウザを利用する設定を強く推奨します。


関連文書
原文:
(英文)「Planned SHA-2 deliveries for IBM Domino 9.x」(Technote #1418982)

この文書は、米国 IBM 社の資料を翻訳した参考文書です。日本語環境での検証は行っておりませんのでご注意ください。翻訳元の文書は、関連文書のリンクよりご参照ください。



IBM’s statements regarding its plans, directions, and intent are subject to change or withdrawal without notice at IBM’s sole discretion. Information regarding potential future products is intended to outline our general product direction and it should not be relied on in making a purchasing decision. The information mentioned regarding potential future products is not a commitment, promise, or legal obligation to deliver any material, code or functionality. Information about potential future products may not be incorporated into any contract. The development, release, and timing of any future features or functionality described for our products remains at our sole discretion.

Document information

More support for: IBM Domino
Security

Software version: 9.0

Operating system(s): AIX, IBM i, Linux, Solaris, Windows

Reference #: 1687817

Modified date: 09 November 2014


Translate this page: