Gestion des certificats TLS avec Certificate Manager
HCL Domino® 12 introduit une nouvelle tâche serveur, Certificate Manager (CertMgr), qui fonctionne avec une nouvelle base de données, Certificate Store (certstore.nsf) pour gérer les certificats TLS dans votre environnement Domino.
Vous utilisez CertMgr et certstore.nsf pour automatiser complètement la demande, la configuration et le renouvellement de certificats TLS libres et largement dignes de confiance auprès de l'autorité de certification (AC) Let's Encrypt®. Vous pouvez également traiter les demandes de signature de certificat pour d'autres AC tierces. Dans ce cas, vous soumettez manuellement le RSC généré à l'AC et collez les certificats reçus dans certstore.nsf.
Domino continue de prendre en charge l'utilisation d'OpenSSL et kyRTool pour générer des certificats dans un fichier de jeu de clés, la méthode disponible avant Domino 12. Toutefois, l'utilisation de Certificate Manager est un processus beaucoup plus facile et est recommandée. Notez que les certificats générés via Certificate Manager sont stockés en toute sécurité directement dans les documents Données d'identification TLS dans certstore.nsf, plutôt que dans des fichiers de clés sur disque.
Les composants clés de la gestion des certificats sont les suivants :
Tâche serveur Certificate Manager (CertMgr). Cette tâche s'exécute sur un serveur d'un domaine Domino et gère le traitement des certificats. Il exploite les nouvelles API de sécurité d'arrière-plan et nécessite un serveur HCL Domino® version 12 ou supérieure s'exécutant sur Docker, Windows ou Linux. Dans la mesure du possible, CertMgr utilise le format PEM standard pour les clés, les demandes de signature de certificat (RSC) et les certificats.
Base de données Certificate Store (certstore.nsf) Cette base de données fournit l'interface pour demander, stocker et distribuer des certificats de manière sécurisée. La tâche CertMgr crée cette base de données la première fois qu'elle s'exécute. La base de données contient des documents de compte ACME Let's Encrypt® prédéfinis requis pour les certificats émis depuis l'autorité de certification Let's Encrypt. certstore.nsf est protégé par la LCA de la base de données et les clés privées sont protégées par un chiffrement AES de 256 bits. La base de données peut être répliquée sur n'importe quel serveur Domino qui exécute Domino 12 ou une version supérieure.