証明書マネージャーで TLS 証明書を管理する

HCL Domino® 12 は、Domino 環境で TLS 証明書を管理するために、新しいデータベースの証明書ストア (certstore.nsf) と連携する新しいサーバー・タスク、証明書マネージャー (CertMgr) を導入しました。

CertMgr と certstore.nsf を使用して、Let's Encrypt® 認証局 (CA) からの信頼できる無料の TLS 証明書を自動的に要求、構成、更新できます。他のサードパーティ CA の証明書署名要求を処理することもできます。この場合、生成された CSR を手動で CA に送信し、受け取った証明書を certstore.nsf に貼り付けます。

Domino は、OpenSSL と KYRTool を使用して、キーリング・ファイルに証明書を生成する方法 (Domino 12 以前の方法) を引き続きサポートしています。しかし、証明書マネージャーを使用する方がはるかに簡単なプロセスであり、推奨されます。証明書マネージャーで生成された証明書は、ディスク上のキーリング・ファイルではなく、certstore.nsf の TLS 資格情報文書に直接安全に格納されます。

証明書管理の主要なコンポーネントは次のとおりです。

証明書マネージャー (CertMgr) サーバー・タスク。このタスクは、Domino ドメイン内の 1 台のサーバー上で実行されます。このタスクでは、新しいバックエンドセキュリティ API を利用して証明書が処理されます。CertMgr は可能な場合、鍵、証明書署名要求 (CSR)、証明書に標準 PEM 形式を使用します。

注: CertMgr は、Docker、Windows、Linux の Domino 12 サーバーに付属しています。Domino 12.0.2 以降、AIX の Domino にも CertMgr が付属します。

証明書ストア・データベース (certstore.nsf)。このデータベースは、安全な方法で証明書を要求、格納、配布するためのインターフェースを提供します。CertMgr タスクは、初回実行時にこのデータベースを作成します。このデータベースには、Let's Encrypt 認証局から発行された証明書に必要な Let's Encrypt® ACME アカウント文書があらかじめ含まれています。certstore.nsf は、データベース ACL によって保護され、秘密鍵は 256 ビットの AES 暗号化によって保護されています。このデータベースは、Domino 12 以降を実行する任意の Domino サーバーに複製できます。

注: IBM i の Domino サーバーは CertMgr を実行して証明書を要求できませんが、certstore.nsf から証明書を読み取ることができます。