从 Let's Encrypt CA 请求证书

使用 certstore.nsf 接口从 Let's Encrypt® CA 请求证书。

开始之前

完成以下过程:

过程

  1. 在服务器上启动 HTTP 服务器任务。
  2. 打开 certstore.nsf ,选择 TLS 凭证 > 按主机名,然后单击添加 TLS 凭证
  3. 验证字提供者字段中,选择 ACME
  4. 主机名字段中,指定要为其请求证书的面向因特网服务器的主机名。
    • 可以指定多个主机名,例如 www.example.com、web.example.com 和 example.com。
    • 如果主机名映射到 DNS 提供程序帐户中的注册域,则会使用 DNS-01 质询。对于 DNS-01,可以使用主机名字段中的通配符来验证整个域,例如 *.mydomain.com。对于仅可用于逐个验证主机的 HTTP-01 质询,不支持通配符。
    • 如果通过因特网站点将单个 IP 地址映射到多个 Web 主机,请为每个 Web 主机指定主题备用名 (SAN) 名称。最多可为一个证书添加 30 个 SAN。
    • 可在此字段中输入国际(非 ASCII)字符。CertMgr 任务将它们转换为 Punycode (https://en.wikipedia.org/wiki/Punycode),即国际化域名 (IDN) 的标准编码。接收到证书后,TLS 凭证表单会显示从证书读取的 SA 的 Punycode 表示。
    注: 另外,将 Web 服务器 DNS 主机名放在服务器文档的 TLS 密钥文件名字段或 Web 站点文档的密钥文件名字段中。
  5. 具有访问权限的服务器字段中,选择要用于加密 TLS 凭证的专用密钥的 Domino 服务器,以便这些服务器可以读取专用密钥并使用证书。
  6. 其他字段的值派生自在 配置全局设置 中指定的全局设置。如果需要,请调整这些字段。
  7. 单击提交请求

结果

将出现以下步骤,以处理请求:
  1. 为 TLS 密钥对生成一个证书,并存储在新的“TLS 凭证”文档中,该文档已针对具有访问权限的服务器字段中列出的服务器进行加密。仅对初始证书请求执行此步骤,后续请求不执行此步骤。
  2. 创建证书签名请求 (CSR) 并提交到 Let's Encrypt® CA 进行认证。
  3. 如果使用 HTTP-01 质询,则 Let's Encrypt CA 会针对您注册的每个主机名,通过 ACME 协议向 CertMgr 发送该质询。该质询存储在 certstore.nsf 数据库中,以供 HTTP 任务在 Let's Encrypt® 服务请求质询以验证请求 Web 服务器的身份时进行挑选。

    如果使用 DNS-01 质询(为指定主机名启用了 DNS 提供程序配置和 DNS 提供程序帐户),那么 DNS 服务器将使用 DNS 提供程序配置中的 DNS API 集成,将质询信息写入注册域中的 DNS TXT 记录。Let's Encrypt 服务使用 DNS TXT 记录来验证该质询。

  4. CertMgr 任务使用 ACME 协议从 Let's Encrypt CA 请求已发布的证书链。如果证书链未就绪,那么 CertMgr 任务将轮询 CA 直至证书链可用。 
  5. CertMgr 会将新证书链写入新的 TLS 凭证文档。在新文档复制到 certstore.nsf 数据库的副本后,具有访问权限的服务器字段中列出的任何 Domino 服务器都可以使用证书链。
  6. 缺省情况下,系统会生成 keyfile.kyr ,用于存储专用密钥、证书和证书链(包括 CA 根证书)。kyr 文件则存储在密钥文件文档中。如果 CertMgr 为本地机器请求证书(本地服务器列于密钥文件文档的“服务器”字段中),则 kyr 文件将自动部署到服务器的数据目录 - 已准备好用于 HTTP 和其他因特网协议。