인증서 관리자를 통해 TLS 인증서 관리

HCL Domino® 12에서는 인증서 저장소(certstore.nsf)라는 새 데이터베이스와 함께 작동하여 Domino 환경에서 TLS 인증서를 관리하는 인증서 관리자(CertMgr)라는 새로운 서버 태스크를 도입했습니다.

CertMgr 및 certstore.nsf를 사용하여 Let's Encrypt® CA(인증 기관)에서 널리 신뢰되는 무료 TLS 인증서를 요청, 구성 및 갱신하는 작업을 완전히 자동화합니다. 다른 써드파티 CA에 대한 인증서 서명 요청을 처리할 수도 있습니다. 이 경우 생성된 CSR을 CA에 수동으로 제출하고 수신된 인증서를 certstore.nsf에 붙여넣습니다.

Domino는 OpenSSL 및 KYRTool을 사용하여 키링 파일에서 인증서를 생성하는 Domino 12 이전에 사용되던 방식을 계속 지원합니다. 하지만 훨씬 쉬운 프로세스인 인증서 관리자를 사용할 것을 권장합니다. 인증서 관리자를 통해 생성되는 인증서는 디스크의 키링 파일이 아닌 certstore.nsf의 TLS 신임 정보 문서에 직접 안전하게 저장됩니다.

인증서 관리의 주요 구성요소는 다음과 같습니다.

CertMgr(인증서 관리자) 서버 태스크. 이 태스크는 Domino 도메인의 서버 하나에서 실행되며 새로운 백엔드 API를 활용하여 인증서를 처리합니다. 가능한 경우 CertMgr은 키, CsR(인증서 서명 요청) 및 인증서에 대한 표준 PEM 형식을 사용합니다.

주: CertMgr은 Docker, Windows 및 Linux에서 Domino 12 서버와 함께 제공됩니다. Domino 12.0.2부터 CertMgr은 AIX에서도 Domino와 함께 제공됩니다.

인증서 저장소 데이터베이스(certstore.nsf) 이 데이터베이스는 인증서를 안전하게 요청, 저장 및 배포하기 위한 인터페이스를 제공합니다. CertMgr 태스크는 처음 실행될 때 이 데이터베이스를 작성합니다. 이 데이터베이스에는 Let's Encrypt 인증 기관에서 발급한 인증서에 필요한 미리 정의된 Let's Encrypt® ACME 계정 문서가 포함되어 있습니다. certstore.nsf는 데이터베이스 ACL에 의해 보호되고 개인 키는 256비트 AES 암호화로 보호됩니다. 이 데이터베이스는 Domino 12 이상을 실행하는 모든 Domino 서버에 복제될 수 있습니다.

주: IBM i의 Domino 서버는 CertMgr을 실행하여 인증서를 요청할 수는 없지만 certstore.nsf에서 인증서를 읽을 수 있습니다.