fc2ブログ

ブラウザからのクライアント証明書のリクエストについて

今回は、ブラウザからのクライアント証明書のリクエストについて記載します。

クライアント証明書を使用する場合、通常は、CA Process で証明書をユーザー文書に対して追加します。
Notesクライアントを使用しているユーザーは、サーバーへのアクセス時にそのユーザーIDファイルに証明書が取り込まれます。
その証明書をエクスポートして、ブラウザにインポートすることも可能です。

ただ、Notesを使用しておらず、ブラウザしか使用していない場合は、Domino Certificate Request (certreq.ntf) アプリケーションを使用して証明書のリクエストとピックアップを行うことになります。
この、Domino Certificate Request は、過去のバージョンで用意されたアプリケーションであり、残念なことに標準では Internet Explorer 11 への対応が行われておりません。

今回は、Internet Explorer 11 から処理する方法について記載します。
対応にあたり、Domino Certificate Requestデータベースを Domino Designer クライアントで開き、以下のカスタマイズ作業が必要となります。
サポート対象外になるので、ブログのトピックにしました。

** 共有フィールド "OSType" の変更
"OSType" フィールドの式を以下のように変更してください。

browsertype := HTTP_USER_AGENT;
@If(@Contains(browsertype;"MSIE")&@Contains(browsertype;"Windows NT 6.");"Vista";
@Contains(browsertype;"MSIE")&@Contains(browsertype;"Windows NT 10.");"Vista";
"")

** "R5 Certificate Request" フォームの変更
IEKeyLength フィールドの "デフォルト値" を 2048 に変更します。
また、IEKeyLength フィールドのプロパティの "制御" タブで、選択肢として以下の値を設定してください。
512 | 512
1024 | 1024
2048 | 2048

#このフィールドの変更は必須ではありませんが、2048 ビット以上のキーは現在は必須と言えるので、記述しました。

設計の変更は以上になります。

また、クライアント環境は互換表示モードでのアクセスが必須となりますので、以下のように設定を行ってください。

** 互換表示設定
Internet Explorer 11 ブラウザで ALT キーを押して、「ツール - 互換表示設定」で、Certificate Request データベースのあるサーバーの FQDN を追加してください。互換表示を可能にします。

** ゾーン設定の変更
インターネットオプションで、「セキュリティ」タブの「ローカルイントラネット」を選択して、「サイト」ボタンを押します。
「詳細設定」ボタンを押して、Certificate Request データベースのあるサーバーの FQDN をゾーンに追加してください。
「セキュリティ」タブに戻り、「レベルのカスタマイズ」を押して、「スクリプトを実行しても安全だとマークされていない ActiveX コントロールの初期化とスクリプトの実行」で「有効」に変更します。
これらの設定によって、Certificate Request データベースへのアクセスには、互換モードかつイントラネットゾーンでアクセスするようにします。

これらの変更によって、リクエストは可能となり、証明書のピックアップも可能である事は確認しています。

ご参考にしていただければと思います。

スポンサーサイト



Domino 9.0.1 FP10 Interim fix 3 が公開されました

Fix Central に以下のモジュールが公開されました。
- Notes Client 9.0.1 FP10 Interim fix 4
- Domino Server 9.0.1 FP10 Interim fix 3
- IBM Verse on Premise 1.0.4

以下の技術情報にはまだ反映されていませんが、修正リストと共に随時反映される予定です。
Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes/Domino & add-ons

Notes/Domino の改善要望について

IBM Notes/Domino の、製品仕様に関する改善要望や、機能追加のリクエストを行うための 「#domino2025 Product Ideas Forum」というサイト(英語)が作成されました。

今まで、改善要望については、障害報告という形で開発にレポートしておりましたが、今後はこのサイトに集約されます。
改善要望は誰でも投稿することができます。

それぞれの改善要望について Vote が蓄積され、その中から Planned され、Shipped されるというフローが今までより認識しやすくなります。

IBM Notes/Domino に関するご要望がありましたら、ぜひ以下の手順で新しいアイデアを追加したり、投票を行ってください。

#domino2025 Product Ideas Forum について

IBM Notes/Domino 注目サポート技術情報 (2018 年 7 月号)

IBM Notes/Domino 注目サポート技術情報 (2018 年 7 月号) を公開しました。

IBM Notes/Domino 注目サポート技術情報 (2018 年 7 月)

この技術文書は、随時最新の情報で上書きしています。
ブックマークをいただければと思います。

Notes クライアントのインストールに関するウィンドウが頻繁に表示される

*** 2018/07/26 更新
技術情報も公開しました。
Notes クライアントのインストールに関するウィンドウが頻繁に表示される
***

最近よくご質問いただく問題で、Google Chrome がインストールされている環境で Notes クライアントを使用していると、以下のメッセージが記載された Windows インストーラーのウィンドウが突然表示されることがあります。

[OK] をクリックして再実行するか、インストールパッケージ 'IBM Notes 9.0.1 Socila Edtion.msi' を含むフォルダーに対する代替パスを以下のボックスに入力します。

この問題は、Notes クライアント側の問題ではなく、Google Chrome のプロセスが、Notes クライアントや他のアプリケーションのインストーラーのレジストリ情報にアクセスすることが原因で発生します。

Google Chrome の修正版がリリースされますので、そちらをご利用ください。
参考情報は、以下の URL にあります。
Chrome starts Windows Installer

尚、Google Chrome の修正版を適用するまでの間、以下の手順で一時的に回避が可能です。
但し、この回避策を実行しても、環境によりこの現象が再発する場合があります。
従って、最終的には Google Chrome の修正を適用してください。

<回避策手順>
1. Google Chrome をアンインストールする
2. Google Chrome 関連のファイルが他にあれば、全て削除する
3. ユーザーの temp ディレクトリ(例:C:\user\appdata\local\temp)配下のファイルを全て削除する
4. クライアントマシンを再起動する
5. Google Chrome をインストールする
6. 現象が解消されているのを確認する

サーバー証明書の更新作業について

最近、SSL サーバー証明書の更新作業を行うというお問い合わせをいただくことがあります。

その中で、"サーバー証明書管理" アプリケーションを使用して CSR を発行しているというケースがありました。
"サーバー証明書管理" アプリケーション自体、互換性の観点で残されいる古いアプリケーションであり、ハッシュアルゴリズムも MD5 という脆弱なアルゴリズムになります。

Notes/Domino 9.0.1 FP3 以降で SHA-2 のハッシュアルゴリズムに対応しておりますが、その後もこのアプリケーションの更新は行われておりません。

よって、現時点では、サードパーティの認証機関の証明書を使用する場合のキーリングファイルおよび CSR の作成方法としては、以下の方法で作成することをお願いしております。

Windows 環境で OpenSSL と KYRTool を利用してサードパーティの認証機関で署名された証明書を作成する

次期メジャーリリース (Domino 10) では、キーリングの発行を行うインターフェースも実装される予定です。

IBM Notes/Domino Day 2018 Summer

7月3日に品川プリンスホテル クラブeXで「IBM Notes/Domino Day 2018 Summer」が開催されます。
IBM Notes/Domino v10 で予定している機能をご案内する予定です。

以下のページからお申込みいただけますので、ぜひお誘い合わせのうえご来場ください。
https://www.ibm.com/blogs/solutions/jp-ja/0703-seminar/

Notes/Domino のページもどうぞ。
https://www-01.ibm.com/software/jp/cmp/domino-notes.html


Notes 9.0.1 FP10 IF3 用日本語パッチがリリースされました

諸般の事情によりリリースが遅れていた 9.0.1 FP10 IF3 用日本語更新モジュールですが、ようやく昨晩リリースされました。

以下の URL (Fix Central) からダウンロード可能です。
notes901FP10IF3_JapaneseUserInterface_Win.exe

どうぞよろしくお願いいたします。

IF2 用日本語パッチを Notes 9.0.1 FP10 IF3 環境に適用する回避策

各 IF ごとに新しい日本語更新モジュールがリリースされる予定でしたが、諸般の事情により IF3 用日本語更新モジュールのリリースが遅れております。
先日の証明書問題が修正された IF3 を早急に利用されたい方もいらっしゃると思うので、以下の方法で IF2 用日本語パッチを適用してください。

0. Notes 9.0.1 FP10 IF3 を導入します。
1. Notes クライアントのプログラムディレクトリにある fix.ini 内の一行を以下のように編集します。
[変更前]
Version=FP10 SHF81
[変更後]
Version=FP10 SHF68
2. notes901FP10IF2_JapaneseUserInterface_Win.exe を実行し、IF2 用日本語パッチを適用します。


※注意※
あくまでも回避策である点をご理解ください。

新規に導入した Notes クライアント、Sametime クライアントが正常に起動できない

Notes クライアントや、Sametime クライアントを新たに導入し、起動しようとすると、正常に起動できない問題が複数のお客様から報告されています。
この問題は証明書の期限が切れているために、インストール処理が正常に完了できないことが影響しています。
2018年4月20日以降に導入作業を行うと問題が表面化することが確認されています。

現時点で影響が確認されている製品は以下の通りです。
- Notes クライアント 9.0.1 FP9 または FP10
- Notes Mac 64bit IFx
- Sametime 9.0.1 FP1

以下の方法で問題を回避することができますので、いずれかの方法でインストール作業を行ってください。
1) オペレーティングシステムの日付を 4/20 より前に変更する
2) plugin_customization.ini で com.ibm.rcp.security.update/EXPIRED_SIGNATURE_POLICY=ALLOW とする

1) を選択した場合は、FP 導入後、Notes クライアントを起動する前に正しい日付/時刻に戻してご利用ください。
2) を選択した場合は、FP 導入後、Notes クライアントを起動する前にデフォルト値である PROMPT に戻してご利用ください。

Mac 版 Notes の plugin_customization.ini は /Applications/Notes.app/Contents/MacOS/rcp/ ディレクトリにあります。
Finder からこのファイルを参照する場合、Notes.app アイコンを control+クリック (右クリック) して「パッケージの内容を表示」から Contents 配下の内容を参照してください。

なお、以下の URL にて Technote を公開いたしました。開発部門で原因と解決方法がわかり次第、修正が提供される予定です。
http://www-01.ibm.com/support/docview.wss?uid=swg22015848

この時期、新規にセットアップをされている方も多いと思います。ご迷惑をおかけしてしまい、誠に申し訳ありません。

5/1 Update
修正版 IF がリリースされています。ダウンロードについては、以下の URL を参照してください。
Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes/Domino & add-ons
http://www-01.ibm.com/support/docview.wss?uid=swg21657963