証明書マネージャーで TLS 証明書を管理する

HCL Domino® 12 は、Domino 環境で TLS 証明書を管理するために、新しいデータベースの証明書ストア (certstore.nsf) と連携する新しいサーバー・タスク、証明書マネージャー (CertMgr) を導入しました。

CertMgr と certstore.nsf を使用して、Let's Encrypt® 認証局 (CA) からの信頼できる無料の TLS 証明書を自動的に要求、構成、更新できます。他のサードパーティ CA の証明書署名要求を処理することもできます。この場合、生成された CSR を手動で CA に送信し、受け取った証明書を certstore.nsf に貼り付けます。

Domino は、OpenSSL と KYRTool を使用して、キーリング・ファイルに証明書を生成する方法 (Domino 12 以前の方法) を引き続きサポートしています。しかし、証明書マネージャーを使用する方がはるかに簡単なプロセスであり、推奨されます。証明書マネージャーで生成された証明書は、ディスク上のキーリング・ファイルではなく、certstore.nsf の TLS 資格情報文書に直接安全に格納されます。

証明書管理の主要なコンポーネントは次のとおりです。

証明書マネージャー (CertMgr) サーバー・タスク。このタスクは、Domino ドメイン内の 1 台のサーバー上で実行され、証明書の処理を行います。このタスクは新しいバックエンド・セキュリティー API を活用しており、Docker、Windows、Linux で実行する HCL Domino® バージョン 12 以降のサーバーが必要です。CertMgr は可能な場合、鍵、証明書署名要求 (CSR)、証明書に標準 PEM 形式を使用します。

証明書ストア・データベース (certstore.nsf)。このデータベースは、安全な方法で証明書を要求、格納、配布するためのインターフェースを提供します。CertMgr タスクは、初回実行時にこのデータベースを作成します。このデータベースには、Let's Encrypt 認証局から発行された証明書に必要な Let's Encrypt® ACME アカウント文書があらかじめ含まれています。certstore.nsf は、データベース ACL によって保護され、秘密鍵は 256 ビットの AES 暗号化によって保護されています。このデータベースは、Domino 12 以降を実行する任意の Domino サーバーに複製できます。