Domino コンソールを使用して既存のサーバーの MicroCA 証明書を作成する

既存のサーバーの場合、Domino コンソールコマンドは、MicroCA 証明書を生成します。これは、自己署名証明書を使用してサーバーコントローラと Java ベース Domino コンソールの初期 SSL/TLS 接続を確立する以前のプロセスを置き換えるものです。

始める前に

certstore.nsf アプリが存在し、CertMgr タスクが実行されている必要があります。

このタスクについて

既存の Java ベース Domino コンソールとサーバーコントローラで自己署名証明書を使用することに対するセキュリティ上の問題を解消するために、次の手順に従います。

注: 新規サーバーの場合、以下の問題は CertMgr プロセスによって処理されます。サーバーのセットアップ時に、サーバーコントローラと Domino コンソール用の証明書が自動的に作成されます。証明書は、拡張子が .p12 の PKCS12 ファイルとして作成されます。これらのファイルは、コンソールコマンドが発行されるサーバーのデータディレクトリに作成されます。

手順

  1. Domino ドメインのシステム管理サーバーで証明書マネージャプロセスが実行されていない場合は、プロセス ncertmgr をロードして証明書マネージャプロセスを開始します。
  2. certmgmt コンソールコマンドを以下のように実行します。 
    certmgmt create mca controller|console FQDN-of-the-server-hostname
    1. 次のコマンドを実行して、Domino ドメイン mydomain 内のホスト myhost 上で実行されているサーバーのサーバーコントローラ用の証明書を作成します。 
      certmgmt create mca controller myhost.example.com

      myhost_mydomain_s.p12 という名前のファイルが作成されます。

    2. Domino ドメイン mydomain 内のホスト myhost 上で実行されているサーバーの Domino コンソール用の証明書を作成します。 
      certmgmt create mca console myhost.mydomain.com

      myhost_mydomain_c.p12 という名前のファイルが作成されます。

  3. 以下のようにして、証明書を鍵ストアおよびトラストストアにインポートします。
    1. サーバーのデータディレクトリにある dcontroller.ini ファイルを編集し、以下の行を追加します。

      Certificate_File=myhost_mydomain_s.p12,,

    2. サーバーのデータディレクトリにある dconsole.ini ファイルを編集し、次の行を追加します

      Certificate_File=myhost_mydomain_c.p12,,

  4. サーバーコントローラを使用してサーバーを開始します。 
    nserver -jc

    次に、サーバーコントローラは jconsole プロセスと nserver プロセスを開始しますが、MicroCA 証明書はそれぞれトラストストアと鍵ストアにインポートされます。

    以下の 4 ファイルが作成されます。
    • 07/08/2022 03:25 PM 4,245 jconsole_c_ks.p12
    • 07/08/2022 03:25 PM 1,618 jconsole_c_ts.p12
    • 07/08/2022 03:25 PM 4,309 jconsole_s_ks.p12
    • 07/08/2022 03:25 PM 1,642 jconsole_s_ts.p12
    インポートされた元の .p12 ファイルは、次のように .old に名前変更されます。
    • 06/13/2022 12:52 PM 4,224 myhost_mydomain_c.p12.old
    • 06/13/2022 12:51 PM 4,312 myhost_mydomain_s.p12.old

    dcontroller.ini または dconsole.ini に追加した証明書ファイルの行は、以下の行に変更されます。

    Certificate_File=myhost_mydomain_s.p12,****,

    注: **** は、証明書が処理またはインポートされ、再び処理されないことを示します。
  5. MicroCA 証明書がインポートされると、サーバーコントローラまたは Domino コンソールは古い自己署名証明書を使用しなくなります。
  6. jconsole は、複数のドメイン証明書を鍵ストアとトラストストアにインポートすることをサポートするため、複数のドメインサーバーに接続できます。サーバーのデータディレクトリにある dconsole.ini ファイルを編集し、以下の行を追加します。
    • Certificate_File=myhostA_mydomainA_c.p12,,
    • Certificate_File=myhostB_mydomainB_c.p12,,
    • Certificate_File=myhostC_mydomainC_c.p12,,
  7. Domino MicroCA 証明書の代わりに独自の証明書を使用する場合は、以下の手順に従います。
    1. 証明書を PKCS12 形式でエクスポートします (拡張子は .p12)。
    2. ファイルをサーバーまたはクライアント側のデータディレクトリにコピーします。
    3. 以下のように dcontroller.ini または dconsole.ini を編集して、Certficate_File= 行 (1 つまたは複数) を追加します。

      Certificate_File=your-cerficate-filename.p12,password-for-your-certificate-file,