保護

Domino CA を管理する
IBM Domino® 認証者の管理に関連するタスクは多数あります。 CA プロセスを使用する認証者を設定すると IBM Notes 認証とインターネット認証要求の承認と拒否を、登録機関として機能する管理者に委任できます。IBM Domino の以前のバージョンで、CA プロセスを使用することにより、CA の管理に関連する手動タスクの多くが自動化されています。

Domino 認証機関の管理者のタスク

CAA は、ドメインのマスター Domino ディレクトリに対して [編集者] 以上のアクセス権を持つ必要があります。

認証者ごとに、CAA を 2 人以上指定しておくとよいでしょう。そうしておけば、一方が異動しても、すぐに対処できます。

注: デフォルトでは、認証者を作成した管理者は、その認証者の CAA と RA として自動的に指定されます。別の CAA を作成する場合、RA のロールが割り当てられないと、認証要求の承認や拒否を行うことができません。

Domino 認証機関の管理者 (CAA) が担当するタスクは、次のとおりです。


Domino 登録機関の管理者のタスク

登録機関 (RA) の管理者は、Notes 認証要求またはインターネット認証要求の承認または拒否、インターネット証明書の失効 (必要に応じて) を実行します。CA 管理者を登録機関にすることもできますが、RA のロールを別に設けると、IBM Domino 管理者や CA 管理者からそれらのタスクの負荷を減らすことができます。さらに、Domino 管理者は、CA プロセスが有効になっている認証者ごとに、RA を 1 つまたは複数設定することもできます。

RA は、該当する認証者によって受け付けられた要求だけを承認します。CA の Issued Certificate List (ICL) データベースに格納されている CA 設定文書と CA 証明書プロフィール文書では、受け付け可能な要求について規定されています。文書の現在の有効なコピーも添付ファイルとして CA の認証者文書と共に保存されます。

認証者に証明書を発行してもらうために必要な手順を最小限にするために、Notes ユーザーを登録する Domino 管理者は、該当する Notes 認証者の RA としてもリストされている必要もあります。

Web サーバー管理クライアントを使用している場合、Notes ユーザーを登録するには、サーバーベースの認証機関を設定する必要があります。Web サーバー管理データベースが存在するサーバーだけでなく、Web サーバー管理クライアントも該当する認証者の RA としてリストされなければなりません。

Domino 登録機関 (RA) の管理者が担当するタスクは、次のとおりです。


注: RA がユーザーを登録できるためには、RA はドメインのマスター Domino ディレクトリに対して [文書の作成] 権限と [User Creator] ロールの両方を持つ [作成者] 以上のアクセス権を持つ必要があります。これは、Notes ユーザーを登録するのに Domino Administrator で必要とされるアクセス権限と同じものです。

関連概念
サーバーベースの IBM Domino 認証機関
IBM Domino のセキュリティの概要
ユーザー登録
システム管理プロセス要求