Let's Encrypt CA からの明書を要求する

certstore.nsf インターフェースを使用して Let's Encrypt® CA から証明書を要求します。

始める前に

次の手順を実行します。

手順

  1. サーバーで HTTP サーバー・タスクを起動します。
  2. certstore.nsf を開き、[TLS 証明書] > [ホスト名別] を選択し、[TLS 証明書の追加] をクリックします。
  3. [Certificate provider] フィールドで、[ACME] を選択します。
  4. [ホスト名] フィールドで、証明書を要求するインターネットに接続するサーバーのホスト名を指定します。
    • www.example.com、web.example.com、example.com など、複数のホスト名を指定できます。
    • ホスト名が DNS プロバイダー・アカウントの登録済みドメインにマップされている場合は、DNS-01 チャレンジが使用されます。DNS-01 の場合、例えば *.mydomain.com のように、[ホスト名]フィールドにワイルドカードを使用してドメイン全体を検証できます。ホスト単位の検証にしか使用できない HTTP-01 チャレンジでは、ワイルドカードはサポートされていません。
    • インターネット・サイトを介して 1 つの IP アドレスが複数の Web ホストにマップされている場合は、各 Web ホストのサブジェクト代替名 (SAN) を指定します。1 つの証明書に対して最大 30 の SAN を追加できます。
    • このフィールドには、国際文字 (非 ASCII 文字) を入力できます。CertMgr タスクは、これらの文字を国際化ドメイン名 (IDN) の標準エンコードである Punycode (https://en.wikipedia.org/wiki/Punycode) に変換します。証明書を受信すると、[TLS 証明書] フォームに証明書から読み取った SAN の Punycode 表現が表示されます。
    注: また、Web サーバーの DNS ホスト名を、サーバー文書の [TLS キーファイル名] フィールド、または Web サイト文書の [キーファイル名] フィールドに入力します。
  5. [アクセスできるサーバー] フィールドで、TLS 資格情報の秘密鍵を暗号化する Domino サーバーを選択し、これらのサーバーのみが秘密鍵を読み取って証明書を使用できるようにします。
  6. その他のフィールドの値は、グローバル設定を構成するで指定したグローバル設定から取得されます。必要に応じて、これらのフィールドを調整してください。
  7. [要求の送信] をクリックします。

タスクの結果

要求を処理するには、次の手順を実行します。
  1. TLS 資格情報の鍵ペアを生成し、新しい TLS 資格情報文書に格納します。これは、[アクセスできるサーバー] フィールドにリストされているサーバーに対して暗号化されます。この手順は、最初の証明書要求に対してのみ実行し、その後の要求には実行しません。
  2. 証明書署名要求 (CSR) を作成し、認証のために Let's Encrypt® CA に送信します。
  3. HTTP-01 チャレンジを使用する場合、Let's Encrypt CA は、登録したホスト名ごとに ACME プロトコルを介して CertMgr にチャレンジを送信します。このチャレンジは certstore.nsf データベースに保存され、Let's Encrypt® サービスがチャレンジを要求して、要求している Web サーバーの ID を確認すると、 HTTP タスクがこれを取得します。

    DNS-01 チャレンジを使用する (指定されたホスト名に対して DNS プロバイダー構成と DNS プロバイダー・アカウントが有効になっている) 場合、DNS サーバーは DNS プロバイダー構成の DNS API 統合を使用して、登録ドメインの DNS TXT レコードにチャレンジ情報を書き込みます。Let's Encrypt サービスは、DNS TXT レコードを使用してチャレンジを検証します。

  4. CertMgr タスクは ACMEプロトコルを使用して、Let's Encrypt CA から発行された証明書チェーンを要求します。証明書チェーンの準備ができていない場合、CertMgr タスクは証明書チェーンが使用可能になるまで、CA にポーリングします。 
  5. CertMgr は、新しい証明書チェーンを新しい TLS 資格情報文書に書き込みます。[アクセスできるサーバー] フィールドにリストされている Domino サーバーは、新しい文書が certstore.nsf データベースのレプリカにレプリケートされると、その証明書チェーンを使用できます。
  6. デフォルトでは、秘密鍵、証明書、CA のルート証明書を含む証明書チェーンを保持する keyfile.kyr が生成されます。この kyr ファイルは、キーファイル文書に保存されます。CertMgr がローカル・マシンの証明書を要求すると (ローカル・サーバーはキーファイル文書の [サーバー] フィールドにリストされます)、 kyr ファイルは自動的にサーバーのデータ・ディレクトリーにデプロイされ、HTTP やその他のインターネット・プロトコルで使用できるようになります。