Let's Encrypt を使用した証明書の発行手順 (DNS-01)
KB0116595 - How to
Send feedback

Let's Encrypt を使用した証明書の発行手順 (DNS-01)


updated 84 Views

適用バージョン

HCL Domino 12.0.x and later releases

導入

この技術文書では、DNS-01 を使用して、Let's Encrypt サーバーから証明書を取得する方法について説明します。

 

説明

はじめに

この技術情報では、DNS-01 を使用して証明書を発行する手順について説明します。

DNS-01 のフローでは、DNS サーバーに TXT レコードを追加するという作業と、ACME サーバー (Let's Encrypt) に証明書をリクエストするという 2 つの処理が必要になります。

DNS サーバーに対して TXT レコードの追加を自動で行うためには、DNS サーバー側がレコードの追加や削除のを行うための API (REST API や CLI コマンド) をサポートしている必要があります。

Domino の証明書マネージャでは、いくつかの DNS サーバーに対して、プリセットされた構成ファイルが提供されているので、REST API やスクリプトを設定したり、プラグインをインストールするという作業は通常は必要ありません。

現在、Cloudflare、Hetzner、deSEC、DigitalOcean という DNS サーバーの構成ファイルがあります。

 

この手順の環境

この技術文書では、次のような環境でテストを行っています。

・DNS サーバー: Cloudflare

・Domino サーバー: HCL Domino 14.0

 

DNS サーバー側の作業手順 (Cloudflare)

1. Cloudflare のサイトにログインし、[アカウント - ホーム] にアクセスし、管理対象のドメインが「アクティブ」となっていることを確認します。

https://dash.cloudflare.com/

 

2. 管理するドメインを選択して、[API トークンを取得] をクリックします。

 

3. [トークンを作成する] を選択します。

 

4. [ゾーン DNS を編集する] の [テンプレートを使用する] を選択します。

 

5. [ゾーンリソース] で、管理対象のドメインを選択して、[概要へ進む] を選択します。

 

6. [トークンを作成する] を選択します。

 

7. [Copy] でトークンをコピーして、テキストファイル等に張り付けておきます。

 

Domino サーバーの作業手順

1. Domino サーバーで、certmgr タスクを起動します。

初回の certmgr の起動時に、Domino サーバー上に証明書ストア (certstore.nsf) データベースが作成され、そのサーバーがプライマリサーバーとなります。

 

2. GitHub より、各 DNS サーバー用の構成ファイルをダウンロードします。

ここでは、Cloudflare の構成ファイル (certstore_cloudflare.dxl) をダウンロードします。

https://github.com/HCL-TECH-SOFTWARE/domino-cert-manager/tree/main/dns-providers/cloudflare

 

3. ダウンロードした構成ファイルをインポートします。

Notes クライアントから、証明書ストアデータベースを開き、[アクション] - [DXL のインポート] を選択し、ダウンロードした certstore_cloudflare.dxl をインポートします。

インポートすると、[DNS 設定] ビューに Cloudflare の文書が追加されます。

 

4. [DNS プロバイダ] ビューの [アカウントの追加] で、アカウント文書を作成します。

 

5. DNS プロバイダアカウント文書で、次の値を設定して、文書を保存します。

登録済みドメイン: 管理対象のドメイン

アカウント名: 任意の名前

ステータス: 有効

DNS プロバイダ設定: Cloudflare

認証トークン: Cloudflare からコピーしたトークン

 

6. [ACME アカウント] ビューから、「LetsEncryptProduction」文書を編集モードで開きます。

 

7. [ステータス] を「有効」とし、「利用規約の了承」にチェックを入れ、文書を保存します。

 

8. [TLS 証明書の追加] をクリックして、TLS 証明書文書を作成します。

 

9. TLS 証明書文書で、次の値を設定します。

ホスト名: Domino サーバーの FQDN を指定します。

アクセスできるサーバー: Domino サーバーの名前を指定します。

証明書プロバイダ: ACME

ACME アカウント: LetsEncryptProduction

キータイプ: ECDSA (RSA)

曲線名: NIST P-256/NIST P-384 (2048/4096)

 

10. [要求の送信] を選択して、証明書をリクエストします。

メモ:TLS 証明書の発行が成功すると、ステータスが「有効」となります。

 

11. Domino ディレクトリを開き、対象の Domino サーバーのサーバー文書の [ポート] - [インターネットポート] を開きます。

 

12. 次の設定を行い、文書を保存します。

1) TLS キーファイル名: 証明書ストアデータベースで作成した TLS 証明書の「ホスト名」を指定します。  
2) TLS ポートステータス: 「有効」 に変更します。

 

13. HTTP タスクを再起動します。

 

14. "https" で始まるアドレスで、Domino サーバーの任意のデータベースに接続できるか確認します。

 

参考情報

Let's Encrypt を使用した証明書の発行手順 (手動操作での DNS-01) (Article# KB0117171)

Let's Encrypt を使用した証明書の発行手順 (HTTP-01) (Article# KB0110944)

DNS-01 チャレンジを使用して証明書要求の準備をする

DNS provider configuration for HCL Domino CertMgr (Article# KB0089487)

 

Copy Permalink

BMPCreated with Sketch.BMPZIPCreated with Sketch.ZIPXLSCreated with Sketch.XLSTXTCreated with Sketch.TXTPPTCreated with Sketch.PPTPNGCreated with Sketch.PNGPDFCreated with Sketch.PDFJPGCreated with Sketch.JPGGIFCreated with Sketch.GIFDOCCreated with Sketch.DOC Error Created with Sketch.