用于 HTTP-01 质询的 Let's Encrypt 证书请求流程
下图说明了使用 HTTP-01 质询时向 Let's Encrypt® CA请求证书所涉及的组件和步骤。
组件
图例:
(A) 以前存储在 kyr 文件中;(B) 验证请求所需的质询;(C) ACME 帐户凭证,用于使用基于 ACME 的 CA(例如 Let's Encrypt CA)进行认证;(D) 外发通信所需的代理帐户(如需)
流程
- CertMgr 使用 ACME CA 服务器创建帐户 (C)
- CertMgr 创建密钥对并写入 CertStore (A)
- CertMgr 创建 CSR 并发送到 ACME CA 服务器
- CertMgr 在 CertStore 中保存接收的质询 (B)
- ACME CA 服务在端口 80 上请求质询以验证域所有权
- Domino HTTP 回复来自 CertStore 的质询
- CertMgr 接收证书链,并写入 CertStore (A)
- HTTP(和 INET 任务)从 CertStore (A) 读取证书和密钥
注释
- 应将 certstore.nsf 复制到所有访问它的服务器。对 Let's Encrypt CA 的访问始终通过 HTTP 而不是“本地或 NRPC”。
- Domino HTTP 和 CertMgr 任务可以在共用 CertStore 的单独 Domino 服务器上运行。
- 代理通信使用代理用户 (D)