從 Let's Encrypt CA 要求憑證

使用 certstore.nsf 介面,從 Let's Encrypt® CA 要求憑證。

開始之前

請完成下列程序:

程序

  1. 在伺服器上啟動 HTTP 伺服器作業。
  2. 開啟 certstore.nsf、選取 TLS 認證 > 依主機名稱,然後按一下新增 TLS 認證
  3. 憑證提供者欄位中,選取 ACME
  4. 主機名稱欄位中,指定連接網際網路的伺服器的主機名稱,以向其要求憑證。
    • 您可以指定多個主機名稱,例如,www.example.com、web.example.com 及 example.com。
    • 如果主機名稱對映到「DNS 提供者帳戶」中註冊的網域,則會使用 DNS-01 挑戰。若為 DNS-01,您可以使用主機名稱欄位中的萬用字元來驗證整個網域,例如 *.mydomain.com。HTTP-01 挑戰不支援萬用字元,HTTP-01 挑戰只能用來由主機驗證主機。
    • 如果單一 IP 位址透過「網際網路網站」對映到多個 Web 主機,請為每一個 Web 主機指定「主體替代名稱 (SAN)」。您最多可為一個憑證新增 30 個 SAN。
    • 您可以在此欄位中輸入國際(非 ASCII)字元。CertMgr 作業會將它們轉換為 Punycode (https://en.wikipedia.org/wiki/Punycode),這是「國際化網域名稱 (IDN)」的標準編碼。一旦收到憑證,「TLS 認證」表單就會顯示從憑證中讀取之 SAN 的 Punycode 表示法。
    註: 同時,也會將 Web 伺服器 DNS 主機名稱放入「伺服器」文件的 TLS 金鑰檔名欄位中,或「網站文件」的金鑰檔名稱欄位中。
  5. 有存取權的伺服器欄位中,選取用來加密 TLS 認證之私密金鑰的 Domino 伺服器,以便它們可以讀取私密金鑰並使用憑證。
  6. 其他欄位的值衍生自您在 配置廣域設定 指定的「廣域設定」。如有必要,調整這些欄位。
  7. 按一下提交要求

結果

出現下列步驟來處理要求:
  1. 為 TLS 認證產生金鑰組,並將其儲存在新的「TLS 認證」文件中,該文件是針對有存取權的伺服器欄位中列出的伺服器加密的。此步驟僅針對最初憑證要求,而不是針對後續要求執行的。
  2. 建立「憑證簽署要求 (CSR)」,並將其提交給 Let's Encrypt® CA 進行認證。
  3. 如果您使用 HTTP-01 挑戰,則 Let's Encrypt CA 會針對您註冊的每一個主機名稱,透過 ACME 通訊協定將此挑戰傳送至 CertMgr。挑戰儲存在 certstore.nsf 資料庫中,以供 HTTP 作業在 Let's Encrypt® 服務要求挑戰驗證提出要求之 Web 伺服器的身分時進行挑選。

    如果您使用 DNS-01 挑戰(為指定的主機名稱啟用「DNS 提供者配置」和「DNS 提供者帳戶」),則 DNS 伺服器會使用「DNS 提供者配置」中的 DNS API 整合,將挑戰資訊寫入至所註冊網域中的 DNS TXT 記錄。Let's Encrypt 服務會使用 DNS TXT 記錄來驗證挑戰。

  4. CertMgr 作業會使用 ACME 通協協定,從 Let's Encrypt CA 要求已發出的憑證鏈。如果憑證鏈未備妥,則 CertMgr 作業會輪詢 CA,直到憑證鏈可用。 
  5. CertMgr 會將新的憑證鏈寫入至新的「TLS 認證」文件。在有存取權的伺服器欄位中列出的任何 Domino 伺服器,一旦新文件抄寫到 certstore.nsf 資料庫的抄本,就可以使用憑證鏈。
  6. 依預設,會產生 keyfile.kyr 以保留私密金鑰、憑證及憑證鏈,包括 CA 的根憑證。kyr 檔案儲存在金鑰檔案文件中。如果 CertMgr 要求本端機器的憑證(本端伺服器列示在金鑰檔案文件的「伺服器」欄位中),則 kyr-file 會自動部署到伺服器的資料目錄 -- 準備用於 HTTP 及其他要使用的網際網路通訊協定。