IBM Support

クライアント証明書のユーザー文書へのインポート

Question/Answer


Question

Domino CA ではなく、サードパーティの認証機関から発行されたクライアント証明書を、ユーザー文書に取り込む方法を教えてください。

Answer

サードパーティの認証機関から発行されたクライアント証明書を、ユーザー文書に取り込む手順について説明します。

1. データベースの作成

証明書発行リクエスト (certpub.ntf) というテンプレートを使って、アプリケーションを作成します。

2. クライアント認証の有効化

クライアント認証が使用できるように、サーバー文書にて、次の設定になっていることを確認します。

・ポート - インターネットポート - SSLキーファイル名: サーバーのキーリングファイルが正しく設定されている
・ポート - インターネットポート - Web - SSLポートステータス: 有効
・ポート - インターネットポート - Web - 認証オプション、クライアント認証: はい

3. クライアント認証の確認

Windows の「コントロールパネル - インターネットオプション - コンテンツ」タブで「証明書」ボタンを押して、「個人」タブに自身のクライアント証明書がインポートされていることを確認します。

次に、Windows の「コントロールパネル - インターネットオプション - セキュリティ」タブで、Domino サーバーにアクセスするときに使用されるゾーンを選択して、「レベルのカスタマイズ」を選択して、「既存のクライアント証明書が1つしか存在しない場合の証明書の選択」を「無効にする」に設定します。この設定は必須ではありませんが、証明書が一つしか存在しない場合に、証明書の選択画面を出すために設定します。

そして、ブラウザから HTTPS で certpub.nsf へアクセスして、クライアント認証のプロンプトが発生することを確認して下さい。

プロンプトで [OK] を押すと、「証明書発行リクエスト」の画面が表示されます。フルネームやEメールアドレスの入力欄が表示されますが、特に記入は必要ありませんので、そのまま「証明書の提出」を押すと、「リクエストは提出されました」という画面に遷移して、自身の証明書がサーバーにアップロードされます。

4. 管理者の承認

管理者は、証明書発行リクエストデータベースにアクセスして、「提出された証明書 - 承認待ち」ビューにアクセスして、提出された文書を開きます。「Dominoディレクトリでの名前」欄には、提出された証明書のサブジェクトから基本名がすでに入力されています。Dominoディレクトリ上でのユーザー名が正しいことを確認して、「受理」ボタンを押します。

システム管理要求データベースに「ユーザー文書へのインターネット認証を追加」リクエストが提出され、そのリクエストがサーバーで処理されると、ユーザー文書の「証明書 - インターネット認証」タブの「インターネット認証」が「あり」になり、証明書がインポートされていることが確認できます。

ユーザー文書に証明書が取り込まれたあとは、クライアント認証による、認証が可能になります。

注意点:

クライアント証明書のルート証明書と、Dominoサーバーのサーバー証明書のルート証明書が異なっている場合は、ブラウザ側の制限で証明書がサーバーに渡されません。クライアント証明書と、サーバー証明書は同じ認証機関から発行された証明書を使用してください。

Document information

More support for: IBM Domino

Software version: 9.0

Operating system(s): Windows

Reference #: 0719613

Modified date: 14 August 2018


Translate this page: