证书 URL 运行状况检查
CertMgr 支持在 TLS 凭证文档中指定的目标 URL 端点上验证 TLS 证书。此验证检查证书到期情况,并在证书到期时通知管理员。
标准证书运行状况检查已提供即将到期证书的警告功能。此功能补充 certstore.nsf 中的证书检查。
特别是在导出通配符证书(例如 SafeLinx、Sametime 和 Nomad Web)的情况下,验证证书的运行状况为管理员提供了一种在 Domino 生态系统中管理证书的简便方法。
通过 TLS 建立远程端点连接,以检查通过指定的 URL 指定的端点上配置的实际证书的到期情况。
受支持的 URL 语法
基本语法是带或不带 https:// 语法的 URL 语法,例如 https://www.example.com
可以省略 https:// 前缀,并假定使用 TLS。端口可以附加到 FQDN (icap.acme.com:11344)。
支持的协议
此功能不限于 HTTPS。还支持 LDAP、POP3、IMAP 和 ICAP 之类的协议。
不检查特定于协议的信息。底层 LibCurl 代码仅检查与远程主机的 TLS/SSL 连接。
不支持将网络会话升级到 TLS 的协议,例如 STARTTLS。
配置证书 URL 运行状况检查
要配置,请在 certstore.nsf 的 TLS 凭证文档中的运行状况检查 URL 中指定一个或多个条目。然后在运行状况检查选项中选择启用。
缺省情况下,用于验证远程对等体的可信根从 certstore.nsf(可信根视图)中读取。要改为使用 Domino 目录中的可信根,请在运行状况检查选项中选择使用 Domino 目录中的可信根。
URL 运行状况检查时间间隔
证书 URL 运行状况检查每 24 小时执行一次。如果需要手动检查,请在 CertMgr 服务器上运行 tell certmgr check 以触发证书和证书 URL 的手动运行状况检查。
CertMgr 将上次检查存储在 notes.ini CERTMGR_CHECKURL_LASTCHECKTIME 中,该 notes.ini 在重新启动时装入。
URL 运行状况检查统计信息
以下 CertMgr 统计信息可用于报告证书 URL 运行状况。
| 统计信息 | 描述 |
|---|---|
| CertMgr.HealthCheckURL.CheckTime.Last | 上次执行证书 URL 运行状况检查的时间。 |
| CertMgr.HealthCheckURL.CheckTime.Next | 证书 URL 运行状况检查的下次调度运行。 |
| CertMgr.HealthCheckURL.IntervalHours | 证书 URL 运行状况检查时间间隔(以小时为单位)。 |
| CertMgr.HealthCheckURL.Status.Green | 报告为运行正常且没有问题的证书 URL 运行状况检查数。 |
| CertMgr.HealthCheckURL.Status.Yellow | 报告警告的证书 URL 运行状况检查数(通常是证书即将到期)。 |
| CertMgr.HealthCheckURL.Status.Red | 报告致命错误的证书 URL 运行状况检查数(通常是证书已到期或致命连接错误)。 |
配置电子邮件通知
在 certstore.nsf 全局配置中,在运行状况检查通知电子邮件字段中指定单个收件人地址以在出现警告或错误时接收电子邮件通知。
如果没有出现警告或错误,则不会发送电子邮件。电子邮件通知汇总了具有运行状况检查 URL 的所有 TLS 凭证,并且仅包含有关出现警告或错误的证书的信息。