Let's Encrypt CA 도전 과제 옵션
Let’s Encrypt CA에서 인증서를 수신한 경우 서버에서 도전 과제를 사용하여 인증서의 도메인 이름이 제어되는지 확인합니다. 두 가지 유형의 도전 과제가 지원되며, 둘 모두 Domino에서 사용할 수 있습니다.
HTTP-01 도전 과제
이 구성에서는 Let's Encrypt 서버의 도전 과제가 포트 80을 경유하는 잘 알려진 URL을 통해 액세스되는 HTTP 서버에 저장됩니다. 인증 요청 처리에는 사용자의 서버와 Let's Encrypt 서버만 포함됩니다. Domino의 경우 DSAPI는 Let's Encrypt CA와 Domino 간의 상호 작용을 관리하는 데 사용됩니다. 이는 구성하기 가장 쉽고 일반적으로 사용되는 도전 과제입니다.
DNS-01 도전 과제
이 구성에서는 Let's Encrypt 서버의 도전 과제 정보가 포함된 TXT 레코드가 등록된 DNS 도메인에 추가됩니다. 요청의 유효성을 검증하기 위해 Let's Encrypt 서버에서 TXT 레코드의 도전 과제를 확인합니다.
DNS 제공자의 TXT 레코드 API는 도전 과제를 TXT 레코드에 자동으로 추가하는 데 사용됩니다. 필요한 API 코딩은 certstore.nsf에서 작성된 DNS 제공자 구성 문서를 통해 구현됩니다.
- DNS-01을 사용하면 호스트별로 유효성을 검증하는 데만 사용할 수 있는 HTTP-01과 달리 Let's Encrypt CA가 전체 도메인을 검증할 수 있습니다. 따라서 DNS-01 인증 확인은 *.mydomain.com과 같은 와일드카드 인증서를 지원합니다.
- 공용 인터넷에서 Domino 웹 서버의 포트 80에 액세스할 필요가 없습니다.
작성된 TLS 신임 정보 문서에 지정된 호스트 이름이 요청을 제출할 수 있도록 certstore.nsf에서 DNS 제공자 구성과 DSN 제공자 계정을 사용하도록 설정한 경우 HTTP-01 도전 과제 대신 DNS-01 도전 과제가 사용됩니다. 이 경우 DNS 서버에서는 DNS 제공자 구성의 DNS API 통합을 사용하여 등록된 도메인의 DNS TXT 레코드에 도전 과제 정보를 씁니다.
CertMgr에서 DNS 제공자 구성 문서를 유연하게 작성할 수 있습니다. DNS 제공자 API를 사용하는 두 특정 DNS 제공자에 대한 참조 API 구현을 포함하는 DXL 파일을 사용할 수 있습니다. 이러한 DNS 제공자 중 하나를 사용하는 경우 DXL 파일을 certstore.nsf로 가져와서 필요한 DNS 제공자 구성 문서를 작성한 후 사용하면 됩니다. DNS 제공자가 두 참조 제공자 중 하나가 아닌 경우 사용자 또는 비즈니스 파트너가 DNS 제공자 API를 사용하여 DNS 구성을 개발할 수 있습니다. 참조 DXL 파일을 가져와서 고유한 DNS 제공자 구성을 빌드하는 방법을 알아보려면 HCL 지원 사이트에서 KB0089487 문서를 참조하십시오.