使用证书管理器管理 TLS 证书
HCL 12 引入了新的服务器任务 Domino® Certificate Manager (CertMgr),该任务与新的数据库证书库 (certstore.nsf) 一起运行,以在 Domino 环境中管理 TLS 证书。
使用 CertMgr 和 certstore.nsf 从认证中心 (CA) 完全自动执行请求、配置和更新免费、广泛可信的 TLS Let's Encrypt® 证书。您还可以处理其他第三方 CA 的证书签名请求。在这种情况下,您需要手动将生成的 CSR 提交给 CA,然后将收到的证书粘贴到 certstore.nsf 中。
Domino 继续支持使用 OpenSSL 和 KYRTool 在密钥环文件中生成证书,Domino 12 之前的版本可使用此方法。但是,使用证书管理器过程更简单,建议使用。请注意,通过证书管理器生成的证书会直接存储在 certstore.nsf 中的 TLS 凭证文档中,而不是存储在磁盘上的密钥环文件中。
证书管理的关键组件包括:
证书管理器 (CertMgr) 服务器任务。此任务在 Domino 域中的一台服务器上运行,并处理证书处理。它利用新的后端安全性 API,且需要在 Docker、Windows 或 Linux 上运行的 HCL Domino® V12 或更高版本的服务器。如果可能,CertMgr 会对密钥、证书签名请求 (CSR) 和证书使用标准 PEM 格式。
证书库数据库 (certstore.nsf) 此数据库提供了以安全方式请求、存储和分发证书的接口。CertMgr 任务会在其首次运行时创建此数据库。数据库包含从 Let's Encrypt 认证中心发布的证书所需的预定义 Let's Encrypt® ACME 帐户文档。certstore.nsf 受数据库 ACL 保护,专用密钥受 256 位 AES 加密保护。可将数据库复制到运行 Domino 12 或更高版本的任何 Domino 服务器。