問題 (Problem)
Lotus Notes/Domino をインストールすると標準で提供されるディスカッションテンプレート (discsw6.ntf、discsw7.ntf) を元に、ディスカッションデータベースを作成して使用しています。
ディスカッションテンプレートでは、アウトラインアプレットやビューアプレットなどの Lotus Domino アプレットがデフォルトで使用されているため、これらのアプレットに最初にアクセスしたタイミングで、セキュリティ警告が表示されます。
例えば、Lotus Domino 6.5.5、7.0、7.0.1 のディスカッションデータベースに Web ブラウザよりアクセスし、表示されたセキュリティ警告に対して証明書を常に信頼する設定にしてクライアントマシンに証明書を取り込むと、以降セキュリティ警告は表示されなくなります。
ところが、取り込んだ証明書の有効期限を確認すると、2005/05/04 から 2006/05/19 までとなっています。
なお、証明書の有効期限は、バージョン・メンテナンスリリースによって異なります。
例えば、Lotus Domino 6.5.5、7.0、7.0.1 では 2005/05/04 から 2006/05/19 までですが、Lotus Domino 6.5.4 では 2004/05/17 から 2005/05/18 までとなります。
証明書を常に信頼する設定で有効期限の日時以降にアクセスする場合、もしくは、有効期限の日時以降に最初に Web ブラウザより Lotus Domino アプレットにアクセスする場合に、セキュリティ警告のダイアログ内に以下のメッセージが表示されることがあります。
- このセキュリティ証明書が期限が切れているか、まだ有効になっていません。
このセキュリティ証明書は有効期限が切れているか、またはまだ有効ではありません。
"The security certificate has expired or is not yet valid."
The digital signature was generated with a trusted certificate but has expired or is not yet valid.
証明書の有効期限が切れた場合、Lotus Domino アプレットの動作に問題はないでしょうか。
また、証明書の有効期限を延長する方法はありますか。
解決策 (Solution)
証明書の有効期限が切れてダイアログ内に上記のメッセージが表示されたとしても、Lotus Domino アプレットの動作に問題はありません。
従って、ユーザー側で証明書の有効期限を延長する方法はありません。
Lotus Notes/Domino の Java アプレットは、証明書の有効期限内に署名が実施された場合に、署名の信頼性が保証されています。
出荷済みの Lotus Notes/Domino については、証明書の有効期限内に署名が実施されているため、署名の信頼性に問題はありません。
この問題に直面した場合、以下のいずれかの方法で回避してください。
1. 証明書を常に信頼してください。
Lotus Domino に Web ブラウザからアクセスした場合に表示されるすべての Java アプレットは、証明書の有効期限内に署名されています。
セキュリティ警告のメッセージは、アプレットの署名に使用した証明書の有効期限が切れていることをユーザーに通知するものであり、有効期限が過ぎると Java アプレットのセキュリティやアプレットの機能に影響を及ぼすものではありません。
2. 有効なソフトウェア・サブスクリプション&サポートがある場合、ロータスカスタマーサポートまでお問い合わせください。
最新のソフトウェア・サブスクリプション&サポートをお持ちの場合、Lotus Notes/Domino 障害修正プログラム提供のポリシーに基づき、この問題に対する Hotfix を提供することができます。
Hotfix の適用により、2009年まで有効期限が延長された証明書で署名された Java アプレットが提供されます。
Lotus Domino 7.0.1 にリリースアップ・アップグレードを行い、FP1 を適用することで、2009年まで有効期限が延長された証明書で署名された Java アプレットがインストールされます。
Lotus Domino 6.5.5 にリリースアップ・アップグレードを行い、FP2 を適用することで、2009年まで有効期限が延長された証明書で署名された Java アプレットがインストールされます。
補足情報 (Supporting Information)
Java アプレットを署名するプロセスで使われるデジタル証明書には、一定の有効期間が設けられています。通常 1 年から 3 年です。
証明書の有効期間内に署名された Java アプレットであれば、署名は有効です。しかしながら、Java アプレットを実行するために、Microsoft Internet Explorer 、 Mozilla もしくは Firefox ブラウザの中で使われる Java Runtime Engine (JRE) は、Web アクセスした時の日付が有効期限を過ぎている場合に、本当に証明書の有効期間内に署名されたものかを確認することができません。従って、Web ブラウザは、Java アプレットが信頼できる証明書で正しく署名されていても、証明書の有効期限が切れているというメッセージを含むダイアログを表示します。
有効期限が切れた証明書で署名されたJava アプレットはダウンロードしたり使用したりするには安全ではないというのはよくある誤解です。
証明書の有効期限内に署名された Java アプレットは信頼でき、また JVM や JRE には、Java アプレットが認証局 (CA) によって発行された証明書で電子的に署名された後で変更されている場合には警告する義務があります。JVM や JRE が Java アプレットが署名されてから変更されたというエラーを返さない限り、Java アプレットは信頼でき、安全に実行できます。
※ IBM JCE 1.2.1 証明書の有効期限切れの問題との関連性について
この問題は、2006/05/19 AM 6:59 に IBM JCE 1.2.1 の証明書が有効期限切れとなる問題とは関係ありません。
IBM JCE 証明書の有効期限切れの問題に関する詳細については、下記の文書を参照して下さい。
「2006年5月19日以降 IBM JCE 1.2.1 が正常に動作しなくなる問題について」
関連文書 (Related Document)
(英文)「Security certificate expiration messages generated from Lotus Domino applets」 (Technote #1238081)
(英文)「Java Applet Security Certificate is expired for Lotus Domino R5」(Technote #1172983)
「Lotus Domino Java アプレットの認証の有効期限が切れている」(Technote #726409)
「R5.0.12 にアップグレード後、ブラウザからのアクセスで「セキュリティの警告」のダイアログが表示される」(Technote #727025)
掲載内容は2006年11月8日現在の情報です。内容は事前の予告なく変更することがあります。 IBM、IBM ロゴおよび ibm.com は、世界の多くの国で登録された International Business Machines Corporation の商標です。他の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、www.ibm.com/legal/copytrade.shtml (US) をご覧ください。
文書情報
プロダクト・ファミリー
Domino Server
プロダクト・カテゴリー
Internet > Web Applications > Java Applets
オペレーティングシステム
ソフトウェア・バージョン
Domino Server 7.x; Domino Server 6.x
文書番号
729409
最終更新日
2006年11月08 日