Demande d'un certificat en provenance de l'autorité de certification Let's Encrypt

Demandez un certificat à l'AC Let's Encrypt® à l'aide de l'interface certstore.nsf.

Avant de commencer

Exécutez les étapes ci-dessous :

Procédure

  1. Démarrez la tâche serveur HTTP sur le serveur.
  2. Ouvrez certstore.nsf, sélectionnez DONNEES D'IDENTIFICATION TLS > Par nom d'hôte et cliquez sur Ajouter des données d'identification TLS.
  3. Dans le champ Fournisseur de certificats, sélectionnez ACME.
  4. Dans le champ Noms d'hôte, spécifiez les noms d'hôte des serveurs Internet pour qui vous demandez un certificat.
    • Vous pouvez spécifier plusieurs noms d'hôte, par exemple, www.exemple.com, web.exemple.com et example.com.
    • Si les noms d'hôte sont mappés à un domaine enregistré dans un compte de fournisseur DNS, des demandes d'authentification DNS-01 sont utilisées. Pour DNS-01, vous pouvez utiliser des caractères génériques dans le champ Noms d'hôte pour valider un domaine entier, par exemple, *.mydomain.com. Les caractères génériques ne sont pas pris en charge pour les demandes d'authentification HTTP-01 qui ne peuvent être utilisées que pour procéder à une validation hôte par hôte.
    • Si une adresse IP unique est mappée à plusieurs hôtes Web via des sites Internet, spécifiez le nom SAN (Subject Alternative Name) pour chaque hôte Web. Vous pouvez ajouter jusqu'à 30 SAN pour un certificat.
    • Vous pouvez entrer des caractères internationaux (non-ASCII) dans ce champ. La tâche CertMgr les convertit en Punycode (https://fr.wikipedia.org/wiki/Punycode), le codage standard des noms de domaine internationalisés (IDN). Une fois le certificat reçu, le formulaire Données d'identification TLS affiche la représentation Punycode des SAN lus à partir du certificat.
    Remarque : Placez également le nom d'hôte DNS du serveur Web dans la zone Nom du fichier de clés TLS du document Serveur ou dans le champ Nom du fichier de clés d'un document Site Web.
  5. Dans le champ Serveurs avec accès, sélectionnez les serveurs Domino avec lesquels vous pouvez chiffrer la clé privée des données d'identification TLS afin qu'ils puissent lire la clé privée et utiliser les certificats.
  6. Les valeurs des autres champs proviennent des paramètres globaux que vous avez spécifiés dans Configuration des paramètres globaux. Ajustez ces champs, si nécessaire.
  7. Cliquez sur Soumettre la requête.

Résultats

Les étapes suivantes traitent la requête :
  1. Générez une paire de clés pour les données d'identification TLS et stockez-la dans le nouveau document Données d'identification TLS chiffré pour les serveurs répertoriés dans le champ Serveurs avec accès. Cette étape est effectuée uniquement pour la demande de certificat initiale et non pour les demandes ultérieures.
  2. Créez une demande de signature de certificat (CSR) et soumettez-la à l'AC Let's Encrypt® pour certification.
  3. Si vous utilisez des demandes d'authentification HTTP-01, l'AC Let's Encrypt envoie la demande d'authentification à CertMgr sur le protocole ACME pour chaque nom d'hôte que vous enregistrez. La demandes d'authentification est stockée dans la base de données certstore.nsf pour la tâche HTTP à prendre en charge lorsque le service Let's Encrypt® demande à la demande d'authentification de vérifier l'identité du serveur Web demandeur.

    Si vous utilisez des demandes d'authentification DNS-01 (une configuration de fournisseur DNS et un compte de fournisseur DNS sont activés pour le nom d'hôte spécifié), un serveur DNS utilise l'intégration d'API DNS dans la configuration du fournisseur DNS pour écrire les informations de demande d'authentification dans un enregistrement TXT DNS de votre domaine enregistré. Le service Let's Encrypt utilise l'enregistrement TXT DNS pour vérifier la demande d'authentification.

  4. La tâche CertMgr utilise le protocole ACME pour demander la chaîne de certificat émise à l'AC Let's Encrypt. Si la chaîne de certificats n'est pas prête, la tâche CertMgr interroge l'AC jusqu'à ce que la chaîne de certificats soit disponible. 
  5. CertMgr écrit la nouvelle chaîne de certificats dans le nouveau document Données d'identification TLS. Tout serveur Domino répertorié dans le champ Serveurs avec accès peut utiliser la chaîne de certificats une fois que le nouveau document est répliqué sur sa réplique de la base de données certstore.nsf.
  6. Par défaut, un fichier keyfile.kyr est généré et contient la clé privée, le certificat et la chaîne de certificats, y compris le certificat racine de l'AC. Le fichier kyr est stocké dans le document de fichier de clés. Si CertMgr demande un certificat pour la machine locale (le serveur local est répertorié dans le champ "Serveurs" du document keyfile), le fichier kyr-file est automatiquement déployé dans l'annuaire de travail du serveur, prêt à être utilisé par HTTP et d'autres protocoles Internet.