Let's Encrypt CA에서 인증서 요청

certstore.nsf 인터페이스를 사용하여 Let's Encrypt® CA에서 인증서를 요청합니다.

시작하기 전에

다음 절차를 완료합니다.

프로시저

  1. 서버에서 HTTP 서버 태스크를 시작합니다.
  2. certstore.nsf를 열고 TLS 신임 정보 > 호스트 이름별을 선택하고 TLS 신임 정보 추가를 클릭합니다.
  3. 인증서 제공자 필드에서 ACME를 선택합니다.
  4. 호스트 이름 필드에서 인증서를 요청할 인터넷 관련 서버의 호스트 이름을 지정합니다.
    • 호스트 이름을 여러 개 지정할 수 있습니다(예: www.example.com, web.example.com, example.com).
    • 호스트 이름이 DNS 제공자 계정의 등록된 도메인에 맵핑되는 경우 DNS-01 도전 과제가 사용됩니다. DNS-01의 경우, 호스트 이름 필드에서 와일드카드를 사용하여 전체 도메인의 유효성을 검증할 수 있습니다(예: *.mydomain.com). 와일드카드는 호스트별로 유효성을 검증하는 데만 사용할 수 있는 HTTP-01 인증 확인에서는 지원되지 않습니다.
    • 단일 IP 주소가 인터넷 사이트를 통해 두 개 이상의 웹 호스트에 맵핑되는 경우 각 웹 호스트에 대한 SAN(Subject Alternative Name) 이름을 지정합니다. 인증서 하나에 대해 SA를 최대 30개 추가할 수 있습니다.
    • 이 필드에 ASCII가 아닌 국제 문자를 입력할 수 있습니다. CertMgr 태스트에서는 국제 문자를 IDN(Internationalized Domain Names)의 표준 인코딩인 Punycode(https://en.wikipedia.org/wiki/Punycode)로 변환합니다. 인증서를 받으면 TLS 신임 정보 양식에 인증서에서 읽은 SA의 Punycode 표현이 표시됩니다.
    주: 또한 서버 문서의 TLS 키 파일 이름 필드 또는 웹 사이트 문서의 키 파일 이름 필드에 웹 서버 DNS 호스트 이름을 입력합니다.
  5. 액세스 권한이 있는 서버 필드에서 개인 키를 읽고 인증서를 사용할 수 있도록 TLS 신임 정보의 개인 키를 암호화하는 데 사용할 Domino 서버를 선택합니다.
  6. 다른 필드의 값은 글로벌 설정 구성에서 지정한 글로벌 설정에서 파생됩니다. 필요한 경우 이 필드를 조정합니다.
  7. 요청 제출을 누르십시오.

결과

요청을 처리하기 위한 단계는 다음과 같습니다.
  1. TLS 신임 정보에 대한 키 쌍을 생성한 후 액세스 권한이 있는 서버 필드에 나열된 서버에 대해 암호화된 새 TLS 신임 정보 문서에 키 쌍을 저장합니다. 이 단계는 후속 요청이 아닌 초기 인증서 요청에 대해서만 수행됩니다.
  2. CSR(인증서 서명 요청)을 작성하고 인증을 위해 Let's Encrypt® CA에 제출합니다.
  3. HTTP-01 도전 과제를 사용하는 경우 Let's Encrypt CA는 등록한 각 호스트 이름에 대해 ACME 프로토콜을 통해 CertMgr에 도전 과제를 보냅니다. Let's Encrypt® 서비스에서 요청 웹 서버의 ID를 확인하기 위해 도전 과제를 요청할 때 HTTP 태스크에서 선택할 수 있도록 도전 과제는 certstore.nsf 데이터베이스에 저장됩니다.

    DNS-01 도전 과제(지정된 호스트 이름에 대해 DNS 제공자 구성 및 DNS 제공자 계정 사용)를 사용하는 경우 DNS 서버는 DNS 제공자 구성의 DNS API 통합을 사용하여 등록된 도메인의 DNS TXT 레코드에 도전 과제 정보를 씁니다. Let's Encrypt 서비스에서는 DNS TXT 레코드를 사용하여 도전 과제를 확인합니다.

  4. CertMgr 태스크에서는 ACME 프로토콜을 사용하여 Let's Encrypt CA에서 발급한 인증서 체인을 요청합니다. 인증서 체인이 준비되지 않은 경우 CertMgr 태스크에서는 인증서 체인을 사용할 수 있을 때까지 CA를 폴링합니다. 
  5. CertMgr은 새 TLS 신임 정보 문서에 새 인증서 체인을 씁니다. 액세스 권한이 있는 서버 필드에 나열된 Domino 서버는 새 문서가 certstore.nsf 데이터베이스의 복제본에 복제된 후에 인증서 체인을 사용할 수 있습니다.
  6. 기본적으로 keyfile.kyr는 CA의 루트 인증서를 포함하여 개인 키, 인증서 및 인증서 체인을 유지한 상태로 생성됩니다. kyr 파일은 키 파일 문서에 저장됩니다. CertMgr이 로컬 시스템에 대한 인증서를 요청하는 경우(로컬 서버는 키 파일 문서의 "서버" 필드에 나열됨) kyr 파일은 HTTP 및 기타 인터넷 프로토콜을 즉시 사용할 수 있도록 서버의 데이터 디렉토리에 자동으로 배포됩니다.