証明書マネージャーを使用した TLS 証明書の管理

HCL Domino ® 12 では、新しいサーバータスクである証明書マネージャー (CertMgr) が導入されています。このタスクは、新しいデータベースである証明書ストア (certstore.nsf) と連携して、Domino 環境で TLS 証明書を管理します。

CertMgr と certstore.nsf を使用すると、 Let's Encrypt ®認証局 (CA) からの広く信頼されている無料の TLS 証明書の要求、構成、更新を完全に自動化できます。他のサードパーティ CA の証明書署名要求を処理することもできます。この場合、生成された CSR を手動で CA に送信し、受け取った証明書を certstore.nsf に貼り付けます。

Domino は、OpenSSL と KYRTool を使用して、キーリング・ファイルに証明書を生成する方法 (Domino 12 以前の方法) を引き続きサポートしています。しかし、証明書マネージャーを使用する方がはるかに簡単なプロセスであり、推奨されます。証明書マネージャーで生成された証明書は、ディスク上のキーリング・ファイルではなく、certstore.nsf の TLS 資格情報文書に直接安全に格納されます。

証明書管理の主要なコンポーネントは次のとおりです。

証明書マネージャー (CertMgr) サーバー・タスク。このタスクは、Domino ドメイン内の 1 台のサーバー上で実行されます。このタスクでは、新しいバックエンドセキュリティ API を利用して証明書が処理されます。

注: CertMgr には、 Docker、Windows、および Linux 上の Domino 12 サーバーが付属しています。Domino 12.0.2 以降、CertMgr は AIX 上の Domino にも付属しています。

CertMgr の設定を開始するには、HCLSoftware オープンソースコミュニティの次のリソースも参照してください。

Domino 証明書マネージャー (CertMgr) クイックスタート。

Certificate Store database (certstore.nsf) This database provides the interface to request, store, and distribute certificates in a secure way. The CertMgr task creates this database the first time it runs. The database contains predefined Let's Encrypt® ACME account documents needed for certificates issued from the Let's Encrypt certificate authority. certstore.nsf is protected by the database ACL and private keys are protected by 256 bit AES encryption. The database can be replicated to any Domino server that runs Domino 12 or higher.

注: IBM i 上の Domino サーバーは、CertMgr を実行して証明書を要求することはできませんが、certstore.nsf から証明書を読み取ることはできます。