从 Let's Encrypt CA 请求证书
使用 certstore.nsf 接口从 Let's Encrypt® CA 请求证书。
开始之前
过程
- 在服务器上启动 HTTP 服务器任务。
- 打开 certstore.nsf ,选择 添加 TLS 凭证。 ,然后单击
- 在验证字提供者字段中,选择 ACME。
-
在主机名字段中,指定要为其请求证书的面向因特网服务器的主机名。
- 可以指定多个主机名,例如 www.example.com、web.example.com 和 example.com。
- 如果主机名映射到 DNS 提供程序帐户中的注册域,则会使用 DNS-01 质询。对于 DNS-01,可以使用主机名字段中的通配符来验证整个域,例如 *.mydomain.com。对于仅可用于逐个验证主机的 HTTP-01 质询,不支持通配符。
- 如果通过因特网站点将单个 IP 地址映射到多个 Web 主机,请为每个 Web 主机指定主题备用名 (SAN) 名称。最多可为一个证书添加 30 个 SAN。
- 可在此字段中输入国际(非 ASCII)字符。CertMgr 任务将它们转换为 Punycode (https://en.wikipedia.org/wiki/Punycode),即国际化域名 (IDN) 的标准编码。接收到证书后,TLS 凭证表单会显示从证书读取的 SA 的 Punycode 表示。
注: 另外,将 Web 服务器 DNS 主机名放在服务器文档的 TLS 密钥文件名字段或 Web 站点文档的密钥文件名字段中。 - 在具有访问权限的服务器字段中,选择要用于加密 TLS 凭证的专用密钥的 Domino 服务器,以便这些服务器可以读取专用密钥并使用证书。
- 其他字段的值派生自在 配置全局设置 中指定的全局设置。如果需要,请调整这些字段。
- 单击提交请求。
结果
将出现以下步骤,以处理请求:
- 为 TLS 密钥对生成一个证书,并存储在新的“TLS 凭证”文档中,该文档已针对具有访问权限的服务器字段中列出的服务器进行加密。仅对初始证书请求执行此步骤,后续请求不执行此步骤。
- 创建证书签名请求 (CSR) 并提交到 Let's Encrypt® CA 进行认证。
- 如果使用 HTTP-01 质询,则 Let's Encrypt CA 会针对您注册的每个主机名,通过 ACME 协议向 CertMgr 发送该质询。该质询存储在 certstore.nsf 数据库中,以供 HTTP 任务在 Let's Encrypt® 服务请求质询以验证请求 Web 服务器的身份时进行挑选。
如果使用 DNS-01 质询(为指定主机名启用了 DNS 提供程序配置和 DNS 提供程序帐户),那么 DNS 服务器将使用 DNS 提供程序配置中的 DNS API 集成,将质询信息写入注册域中的 DNS TXT 记录。Let's Encrypt 服务使用 DNS TXT 记录来验证该质询。
- CertMgr 任务使用 ACME 协议从 Let's Encrypt CA 请求已发布的证书链。如果证书链未就绪,那么 CertMgr 任务将轮询 CA 直至证书链可用。
- CertMgr 会将新证书链写入新的 TLS 凭证文档。在新文档复制到 certstore.nsf 数据库的副本后,具有访问权限的服务器字段中列出的任何 Domino 服务器都可以使用证书链。
- 缺省情况下,系统会生成 keyfile.kyr ,用于存储专用密钥、证书和证书链(包括 CA 根证书)。kyr 文件则存储在密钥文件文档中。如果 CertMgr 为本地机器请求证书(本地服务器列于密钥文件文档的“服务器”字段中),则 kyr 文件将自动部署到服务器的数据目录 - 已准备好用于 HTTP 和其他因特网协议。