以前より要望のあった XPages.JP プロジェクトで運用する HTTP サーバーの
SSL/TLS 対応を行い、HTTPS でのセキュアな通信が確立できるようになりました。
XPages.JP プロジェクトのサーバーは当然ながら IBM Domino なのですが、
その IBM Domino を使って、このサイトの SSL/TLS 対応をどのように行ったかと紹介します。
1. 証明書の取得
SSL/TLS 対応を行うにあたり最初に必要になるのは信頼される認証局から発行される証明書を取得するところからになります。
今回は GeoTrust 社が発行する RapidSSL を利用しています。
申請は日本に代理店があるので日本語で簡単に購入する事が可能でした。
購入した証明書は xpages.jp に対する証明書で、ワイルドカード証明書は予算の関係で諦めています。従ってサブドメインを利用した場合には購入した証明書での SSL/TLS には対応できていません。
2. IBM Domino 用のキーリングの作成
IBM Domino で SSL/TLS を利用するためには、購入した証明書の情報を含むキーリングファイルを作成する必要がありあす。
キーリングファイルの作成は IBM Domino にある Server Certificate Admin (certsrv.nsf) アプリケーションで行います。
アプリケーションを開くと「1. Generate Key Ring」というメニューがあるので、それをクリックし必要な情報を入力することでキーリングファイルが生成されます。
注意点は、昨今のセキュリティ要件を考慮すると、Key Size を 2048 bit にして強固にしておくべきかと思います。今回は 2048 bit で生成しています。
3. Root 証明書のインストール
今回利用する証明書は GeoTrust が発行した中間証明機関である RapidSSL が発行するものとなるので、その RapidSSL の証明書をインストールしておく必要があります。
インストールは Server Certificate Admin の Install Trusted Root Certificates into Key Ring を実行します。
RapidSSL の証明書の情報を Web サイトからコピーアンドペーストすることでインストールが完了します。
4. キーリングファイルに証明書のインストール
最後に生成したキーリングファイルに RapidSSL から発行された証明書をインストールする作業になります。
この作業も Server Certificate Admin の Install Certificate into Key Ring から行います。
RapidSSL の証明書を購入した際に証明書の情報がメールで送られてくるのでそれをコピーアンドペーストすることでインストールが完了します。
5. IBM Domino の設定
NAB を開きキーリングファイルの指定と SSL/TLS を各プロトコロルに対して有効化することで完了になります。
HTTPS の場合、Web ブラウザから接続し証明書を表示することで設定が正しく反映されているか確認できます。
今回の場合、以下のように GeoTrust が信頼する中間証明機関である RapidSSL から発行された証明書で SSL/TLS 通信が行えていることを確認できます。
