Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HCL Domino 12.0 (ベータ) TLS証明書管理の自動化

Haruyuki Nakano
September 01, 2022
Technology
0
740

HCL Domino 12.0 (ベータ) TLS証明書管理の自動化

HCL Domino 12.0 の新機能であるTLS証明書管理機能についてベータ版を使い検証しました。
2021年3月の「テクてくLotus技術者夜会」で使用した資料です。

Haruyuki Nakano

September 01, 2022
Tweet

More Decks by Haruyuki Nakano

See All by Haruyuki Nakano
HCL Notes/Domino 14.5 EAP Drop1
harunakano
1
50
ブラウザでNotesアプリ開発!?HCL Nomad Designer で始めよう!
harunakano
0
16
HCL Domino 14.0 AutoUpdate を試してみた
harunakano
0
1.7k
HCL Nomad Designer 1.0.11
harunakano
0
230
HCL Notes 14.0 「スタイルの変更」で「3 設定の確認」を深掘り
harunakano
0
6.4k
HCL Notes 14.0 EA2 Domino Restyle を試してみた
harunakano
0
420
HCL Nomad 1.0.7 Restyle
harunakano
0
220
添付された日本語テキストファイルを全文検索でヒットさせる方法
harunakano
0
14k
12.0.2 ビュー索引更新の改善
harunakano
0
15k

Other Decks in Technology

See All in Technology
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
Storybook との上手な向き合い方を考える
re_taro
5
1.5k
【LT】ソフトウェア産業は進化しているのか? #Agilejapan
takabow
0
110
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
160
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
7
700
SDNという名のデータプレーンプログラミングの歴史
ebiken
PRO
2
160
テストコード品質を高めるためにMutation Testingライブラリ・Strykerを実戦導入してみた話
ysknsid25
7
2.7k
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
200
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
720
飲食店データの分析事例とそれを支えるデータ基盤
kimujun
0
220
TypeScript、上達の瞬間
sadnessojisan
48
14k
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
29
13k

Featured

See All Featured
Gamification - CAS2011
davidbonilla
80
5k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Teambox: Starting and Learning
jrom
133
8.8k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
120
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Building Applications with DynamoDB
mza
90
6.1k
GraphQLとの向き合い方2022年版
quramy
43
13k

Transcript

  1. 証明書管理の 自動化 V12 Beta 2 の CertMgr による DNS-01 challenge

    を試す @harunkakano (Twitter) harunakano.blogspot.com (Blog)

  2. 検証の前に 証明書の取得と自動化のために知っておきたいことがあります

  3. V11までの手動での証明書管理 • KYRTOOL(Domino V11に同梱、V10以前は別途ダウンロー ド) • OpenSSL(別途ダウンロード)のインストールと設定 • 長いコマンドを何度もタイプする操作を求められる

  4. V11までの証明書管理の自動化ツール • midpoints Let’s Encrypt for Domino (LE4D) • Domino

    に nsf ファイルを設置 • 開発言語は Java

  5. Let’s Encrypt https://letsencrypt.org/ja/

  6. Let’s Encrypt について • HTTPS (SSL/TLS) の有効化に必要なデジタル証明書を、無料で 提供する認証局(CA) • ISRGがサービスを提供

    • 証明書の取得や更新の自動化が可能 https://letsencrypt.org/ja/about/

  7. ACMEプロトコル • 証明書の要求から取得までを自動化するためのルール • RFC 8555 - Automatic Certificate Management

    Environment (ACME) • CA(認証局)は、要求したドメイン名が我々の制御下にあるこ とを証明できれば証明書を発行する • ホスティングプロバイダによる ACMEクライアント( ACMEプ ロトコルを実装するソフトウェア)のサポートが必要

  8. 証明書自動入手の流れ 1. 証明書リクエスト 2. 認証用トークン発行 3. トークンの登録 4. 認証チャレンジの要求 5.

    トークンの確認 6. 証明書発行 ホスティング プロバイダ ドメインが我々の制御下にあることを証明 証明書等の要求と発行 CA CA CA CA CA ホスティング プロバイダ ACMEクライアント ACMEクライアント ACMEクライアント ACMEクライアント ACMEクライアント ※ホスティングプロバイダ:WEBサーバーまたはDNSサービス

  9. 「チャレンジ」のタイプ HTTP-01 チャレンジ • ACMEクライアントが、Let’s Encrypt が発行したトークン をセットしたファイルをWeb サーバーへ設置する DNS-01

    チャレンジ • ACMEクライアントが、Let’s Encrypt が発行したトークン をセットしたTXTレコードを DNSへ設置する

  10. 利点/欠点 HTTP-01 チャレンジ ✓メリット • 証明書の取得が比較的簡単に自 動化できる ╳デメリット • Let’s

    Encrypt がWebサーバー へアクセスできる必要がある • ワイルドカード証明書を発行で きない DNS-01 チャレンジ ✓メリット • ワイルドカード証明書を発行可 能 • 複数のWEBサーバーの証明書 を取得可能 ╳デメリット • DNS プロバイダによる自動 アップデート可能なAPIの提供 が必要

  11. CertMgr の検証 V12 Beta 2 で DNS-01 チャレンジによるTLS証明書の自動取得を検証

  12. DNS-01チャレンジの検証 • ACMEクライアント:CertMgr タスク • CertMgrの初回起動時に CertStore.nsf を自動作成 • TLS

    Credentials, DNS Provider, DNS Configuration の各設定を追加 • DNS-01チャレンジでは Domino にDSAPI 設定や HTTP タスク起動が不要 • ホスティングプロバイダ(DNS):CloudFlare • CertStore.nsf へTXTレコードを追加/削除するための設定を追加 • DNSプロバイダによるAPI提供が必要 使用中の MyDNS.jp はAPI仕様不明のため CloudFlare へ乗り換え • ドメインのAレコードを登録 • ドメイン名:dominov12beta.work • お名前.com で取得 • DNS として CloudFlare を指定

  13. 検証した DNS-01 チャレンジ 1. 証明書リクエスト 2. 認証用トークン発行 3. トークンをTXTレコードにして登録 4.

    認証チャレンジの要求 5. TXTレコードの確認 6. 証明書発行 7. TXTレコードの削除

  14. CertStore.nsf の作成 • CertMgr タスクの実行 コンソールで “load certmgr” コマンドを実行、または notes.ini

    の ServerTasks= へ certmgr を追加 初回起動時に CertStore.nsf が無ければ自動作成 コマンドに “-d” を付けて起動するとデバッグモードになる

  15. CertStore.nsf の画面ショット

  16. ACME Account ACMEプロトコルに対応したCAを設定します

  17. DB作成時に既存の2文書

  18. 「Accept Let’s Encrypt terms of service」にチェックが必要

  19. DNS Provider Configuration CertMgr が DNS プロバイダへアクセスしTXTレコードの登録と削除を行う ために必要な設定を行います

  20. [Add Config]ボタンでDNS設定を白紙から作成することも 可能だが、DXLファイルからのインポートも可能 ベータフォーラムで公開されていた DXLファイルをインポートして追加 された2つのDNS設定

  21. None

  22. インポートしたままの設定では cfg_DnsZone フィールドの値を取得できなかったため 「Lookup header formula」の式を変更した

  23. DNS Provider Account ドメイン名と、DNSプロバイダの認証情報を登録します

  24. None

  25. ドメイン名 DNSプロバイダでの認証時の情報 (ここでは Authorization token のみ記入) DNS Provider Configuration で

    設定済みのプロバイダを選択

  26. TLSクレデンシャル文書 CAが証明書の発行に必要な情報を登録し、実行します

  27. Basicタブで入力する項目 Hostname Common Name (CN) Country Key type に“ECDSA”を選択 そのほかはデフォルトのまま

    [Submit Request]ボタンを クリック 実行結果
  28. None

  29. [Examine Certificate(s)]ボタンで 入手できた証明書の詳細を確認

  30. スライドの最後