Let's Encrypt CA チャレンジ・オプション
ユーザーが Let’s Encrypt CA から証明書を受け取ると、Let’s Encrypt CA サーバーはチャレンジを使用して、ユーザーが証明書のドメイン名を管理していることを検証します。サポートされているチャレンジには 2 つのタイプがあり、どちらも Domino で使用できます。
HTTP-01 チャレンジ
この構成では、Let's Encrypt サーバーからのチャレンジは HTTP サーバーに保存され、ポート 80 経由で既知の URL を介してアクセスされます。認証要求の処理は、ユーザーのサーバーと Let's Encrypt サーバーだけで行われます。Domino の場合、Let's Encrypt CA と Domino 間の対話を管理するために DSAPI が使用されます。これは、構成が最も簡単で、一般的に使用されているチャレンジです。
DNS-01 チャレンジ
この構成では、Let's Encrypt サーバーからのチャレンジ情報を含む TXT レコードが登録済みの DNS ドメインに追加されます。要求を検証するために、 Let's Encrypt サーバーは TXT レコード内のチャレンジを検証します。
ユーザーの DNS プロバイダーの TXT レコード API を使用して、チャレンジを TXT レコードに自動的に追加します。必要な API コーディングは、certstore.nsf で作成される DNS プロバイダー構成文書によって実装されます。
- HTTP-01 ではホスト単位での検証しかできないのに対し、DNS-01 では Let's Encrypt CA がドメイン全体を検証できます。したがって、DNS-01 チャレンジは *.mydomain.com のようなワイルドカード証明書をサポートしています。
- 公共のインターネットから Domino Web サーバーのポート 80 にアクセスする必要はありません。
要求を送信するために作成された TLS 資格情報文書で指定されたホスト名に対して、certstore.nsf で DNS プロバイダー構成と DNS プロバイダー・アカウントが有効になっている場合、HTTP-01 チャレンジではなく DNS-01 チャレンジが使用されます。この場合、DNS サーバーは DNS プロバイダー構成の DNS API 統合を使用して、登録済みドメインの DNS TXT レコードにチャレンジ情報を書き込みます。
CertMgr は、DNS プロバイダー構成文書を柔軟に作成できます。DXL ファイルには、DNS プロバイダー API を使用する 2 つの特定の DNS プロバイダーの参照 API 実装が含まれています。これらの DNS プロバイダーのいずれかを使用している場合、DXL ファイルを certstore.nsf にインポートするだけで、必要な DNS プロバイダー構成文書を作成し、すぐに使用できます。ユーザーの DNS プロバイダーが 2 つの参照プロバイダーのいずれでもない場合は、ユーザーまたはビジネス・パートナーが DNS プロバイダー API を使用して DNS 構成を開発できます。参照 DXL ファイルを取得し、独自の DNS プロバイダー構成を構築する方法については、HCL サポート・サイトの記事 KB0089487 を参照してください。