ブラウザからのクライアント証明書のリクエストについて
今回は、ブラウザからのクライアント証明書のリクエストについて記載します。
クライアント証明書を使用する場合、通常は、CA Process で証明書をユーザー文書に対して追加します。
Notesクライアントを使用しているユーザーは、サーバーへのアクセス時にそのユーザーIDファイルに証明書が取り込まれます。
その証明書をエクスポートして、ブラウザにインポートすることも可能です。
ただ、Notesを使用しておらず、ブラウザしか使用していない場合は、Domino Certificate Request (certreq.ntf) アプリケーションを使用して証明書のリクエストとピックアップを行うことになります。
この、Domino Certificate Request は、過去のバージョンで用意されたアプリケーションであり、残念なことに標準では Internet Explorer 11 への対応が行われておりません。
今回は、Internet Explorer 11 から処理する方法について記載します。
対応にあたり、Domino Certificate Requestデータベースを Domino Designer クライアントで開き、以下のカスタマイズ作業が必要となります。
サポート対象外になるので、ブログのトピックにしました。
** 共有フィールド "OSType" の変更
"OSType" フィールドの式を以下のように変更してください。
browsertype := HTTP_USER_AGENT;
@If(@Contains(browsertype;"MSIE")&@Contains(browsertype;"Windows NT 6.");"Vista";
@Contains(browsertype;"MSIE")&@Contains(browsertype;"Windows NT 10.");"Vista";
"")
** "R5 Certificate Request" フォームの変更
IEKeyLength フィールドの "デフォルト値" を 2048 に変更します。
また、IEKeyLength フィールドのプロパティの "制御" タブで、選択肢として以下の値を設定してください。
512 | 512
1024 | 1024
2048 | 2048
#このフィールドの変更は必須ではありませんが、2048 ビット以上のキーは現在は必須と言えるので、記述しました。
設計の変更は以上になります。
また、クライアント環境は互換表示モードでのアクセスが必須となりますので、以下のように設定を行ってください。
** 互換表示設定
Internet Explorer 11 ブラウザで ALT キーを押して、「ツール - 互換表示設定」で、Certificate Request データベースのあるサーバーの FQDN を追加してください。互換表示を可能にします。
** ゾーン設定の変更
インターネットオプションで、「セキュリティ」タブの「ローカルイントラネット」を選択して、「サイト」ボタンを押します。
「詳細設定」ボタンを押して、Certificate Request データベースのあるサーバーの FQDN をゾーンに追加してください。
「セキュリティ」タブに戻り、「レベルのカスタマイズ」を押して、「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」で「有効」に変更します。
これらの設定によって、Certificate Request データベースへのアクセスには、互換モードかつイントラネットゾーンでアクセスするようにします。
これらの変更によって、リクエストは可能となり、証明書のピックアップも可能である事は確認しています。
ご参考にしていただければと思います。
クライアント証明書を使用する場合、通常は、CA Process で証明書をユーザー文書に対して追加します。
Notesクライアントを使用しているユーザーは、サーバーへのアクセス時にそのユーザーIDファイルに証明書が取り込まれます。
その証明書をエクスポートして、ブラウザにインポートすることも可能です。
ただ、Notesを使用しておらず、ブラウザしか使用していない場合は、Domino Certificate Request (certreq.ntf) アプリケーションを使用して証明書のリクエストとピックアップを行うことになります。
この、Domino Certificate Request は、過去のバージョンで用意されたアプリケーションであり、残念なことに標準では Internet Explorer 11 への対応が行われておりません。
今回は、Internet Explorer 11 から処理する方法について記載します。
対応にあたり、Domino Certificate Requestデータベースを Domino Designer クライアントで開き、以下のカスタマイズ作業が必要となります。
サポート対象外になるので、ブログのトピックにしました。
** 共有フィールド "OSType" の変更
"OSType" フィールドの式を以下のように変更してください。
browsertype := HTTP_USER_AGENT;
@If(@Contains(browsertype;"MSIE")&@Contains(browsertype;"Windows NT 6.");"Vista";
@Contains(browsertype;"MSIE")&@Contains(browsertype;"Windows NT 10.");"Vista";
"")
** "R5 Certificate Request" フォームの変更
IEKeyLength フィールドの "デフォルト値" を 2048 に変更します。
また、IEKeyLength フィールドのプロパティの "制御" タブで、選択肢として以下の値を設定してください。
512 | 512
1024 | 1024
2048 | 2048
#このフィールドの変更は必須ではありませんが、2048 ビット以上のキーは現在は必須と言えるので、記述しました。
設計の変更は以上になります。
また、クライアント環境は互換表示モードでのアクセスが必須となりますので、以下のように設定を行ってください。
** 互換表示設定
Internet Explorer 11 ブラウザで ALT キーを押して、「ツール - 互換表示設定」で、Certificate Request データベースのあるサーバーの FQDN を追加してください。互換表示を可能にします。
** ゾーン設定の変更
インターネットオプションで、「セキュリティ」タブの「ローカルイントラネット」を選択して、「サイト」ボタンを押します。
「詳細設定」ボタンを押して、Certificate Request データベースのあるサーバーの FQDN をゾーンに追加してください。
「セキュリティ」タブに戻り、「レベルのカスタマイズ」を押して、「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」で「有効」に変更します。
これらの設定によって、Certificate Request データベースへのアクセスには、互換モードかつイントラネットゾーンでアクセスするようにします。
これらの変更によって、リクエストは可能となり、証明書のピックアップも可能である事は確認しています。
ご参考にしていただければと思います。
スポンサーサイト