Options de demande d'authentification de l'AC Let's Encrypt
Lorsque vous recevez un certificat de l'AC Let's Encrypt, leurs serveurs utilisent des demandes d'authentification pour vérifier que vous contrôlez les noms de domaine dans le certificat. Deux types de demande d'authentification sont pris en charge, tous deux disponibles pour une utilisation avec Domino.
Demande d'authentification HTTP-01
Avec cette configuration, une demande d'authentification provenant des serveurs Let's Encrypt est stocké sur le serveur HTTP sur lequel elle est accessible via une URL connue sur le port 80. Le traitement des demandes de certification concerne uniquement vos serveurs et les serveurs Let's Encrypt. Dans le cas de Domino, la DSAPI est utilisée pour gérer les interactions entre l'AC Let's Encrypt et Domino. Il s'agit de la demande d'authentification la plus simple à configurer et qui est généralement utilisée.
Demande d'authentification DNS-01
Avec cette configuration, un enregistrement TXT contenant des informations de demande d'authentification provenant des serveurs Let's Encrypt est ajouté à votre domaine DNS enregistré. Pour valider une requête, le serveur Let's Encrypt vérifie la demande d'authentification dans l'enregistrement TXT.
L'API d'enregistrement TXT de votre fournisseur DNS permet d'automatiser l'ajout de la demande d'authentification à un enregistrement TXT. Le codage d'API requis est implémenté via un document Configuration du fournisseur DNS créé dans certstore.nsf.
- DNS-01 permet à la CA Let's Encrypt de chiffrer l'ensemble d'un domaine, contrairement à HTTP-01 qui ne peut être utilisé que pour valider l'hôte par hôte. Par conséquent, les demandes d'authentification DNS-01 prennent en charge des certificats de caractère générique tels que *.mydomain.com.
- L'accès au port 80 de votre serveur Web Domino à partir de l'Internet public n'est pas obligatoire.
Si une configuration de fournisseur DNS et un compte de fournisseur DNS sont activés dans certstore.nsf pour un nom d'hôte spécifié dans le document Données d'identification TLS créé pour soumettre une requête, des demandes d'authentification DNS-01 sont utilisées plutôt que des demandes d'authentification HTTP-01. Dans ce cas, un serveur DNS utilise l'intégration de l'API DNS dans la configuration du fournisseur DNS pour écrire les informations de demande d'authentification dans un enregistrement TXT DNS de votre domaine enregistré.
CertMgr offre de la flexibilité au niveau de la création d'un document Configuration du fournisseur DNS. Un fichier DXL est disponible et contient des implémentations d'API de référence pour deux fournisseurs DNS spécifiques à l'aide de leurs API de fournisseur DNS. Si vous utilisez l'un de ces fournisseurs DNS, vous pouvez simplement importer le fichier DXL dans certstore.nsf pour créer le document Configuration du fournisseur DNS requis, qui est alors prêt à être utilisé. Si votre fournisseur DNS n'est pas l'un des deux fournisseurs de référence, vous ou un partenaire commercial pouvez développer une configuration DNS à l'aide de votre API de fournisseur DNS. Pour obtenir le fichier DXL de référence et savoir comment créer votre propre configuration de fournisseur DNS, consultez l’article KB0089487 sur le site de support HCL.