Upgrade to Pro — share decks privately, control downloads, hide ads and more …

TLS証明書の手動管理

Haruyuki Nakano
July 15, 2022
Technology
0
14k

 TLS証明書の手動管理

一般的な認証機関から入手したTLS証明書を HCL Domino 12.0 サーバーの証明書ストアで手動管理する方法について、認証機関への新規申込みから証明書ストアへの設定までの操作の流れを実際に実施したとおりに示します。

Haruyuki Nakano

July 15, 2022
Tweet

More Decks by Haruyuki Nakano

See All by Haruyuki Nakano
HCL Nomad Designer 1.0.11
harunakano
0
35
HCL Notes 14.0 「スタイルの変更」で「3 設定の確認」を深掘り
harunakano
0
1.9k
HCL Notes 14.0 EA2 Domino Restyle を試してみた
harunakano
0
270
HCL Nomad 1.0.7 Restyle
harunakano
0
150
添付された日本語テキストファイルを全文検索でヒットさせる方法
harunakano
0
9.9k
12.0.2 ビュー索引更新の改善
harunakano
0
11k
HCL Notes で管理する AWS リソース
harunakano
0
12k
UNKテーブル
harunakano
0
12k
HCL Notes 12.0.2 アプリケーション・デザインの一括変更
harunakano
0
570

Other Decks in Technology

See All in Technology
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.2k
「スニダン」開発組織の構造に込めた意図 ~組織作りはパッションや政治ではない!~
rinchsan
3
460
Java EE/Jakarta EEの現状と将来 ―クラウドネイティブ時代にJava EEは対応できるのか?―
takakiyo
1
120
On Your Data を超えていく!
hirotomotaguchi
2
620
プロトタイピングによる不確実性の低減 / Reducing Uncertainty through Prototyping
ohbarye
5
370
Meta Quest 3 で動く桜マシマシ WebXR アプリを IBM Cloud Code Engine と Babylon.js で作った話
1ftseabass
PRO
0
120
MySQL の SQL クエリチューニングの要所を掴む勉強会
andpad
2
5.4k
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.2k
EMとして2023年度に頑張ったこと / What we did well in FY2023 as a EM
pauli
1
150
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.3k
Kernel MemoryでAzure OpenAI Serviceとお手軽データソース連携
mitsuzono
1
160
Cloud Native Java with Spring Boot (CNCF Aarhus, April 2024)
thomasvitale
1
160

Featured

See All Featured
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
243
20k
10 Git Anti Patterns You Should be Aware of
lemiorhan
647
58k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k
Building Your Own Lightsaber
phodgson
98
5.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
1
1.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
6
990
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
18
6.9k
Gamification - CAS2011
davidbonilla
76
4.6k
How to train your dragon (web standard)
notwaldorf
72
5.1k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Clear Off the Table
cherdarchuk
83
310k

Transcript

  1. TLS 証明書の手動管理 新規に TLS 証明書を取得し HCL Domino 12.0 の証明書ストアと CertMgr

    で「手動」管理する 中野 晴幸 Haruyuki Nakano @harunakano (Twitter) https://harunakano.blogspot.com (blog)

  2. TLS 証明書の手動管理とは ここでは ACME プロトコルを使用せず TLS 証明書の取得/更新 を行うことを「手動管理」と表現します

  3. 今回行った作業 1. 証明書の申込み • 文書規約への同意 • 商品選択 • CSR 作成(証明書ストア)

    • CSR 提出 • 承認方式選択 • 申請情報入力 • 決済情報入力 2. TXT レコードの追加 3. 各種証明書の取込み 4. ドミノディレクトリ変更 5. TXT レコード削除 ※本スライドは4~5を省略しています

  4. 1. 証明書の申込み 今回は FUJISSL

  5. FUJISSL Webサイト

  6. FUJISSL Webサイト

  7. FUJISSL Webサイト

  8. FUJISSL Webサイト

  9. FUJISSL Webサイト

  10. FUJISSL Webサイト

  11. FUJISSL Webサイト

  12. 「アクセスできるサーバー」には、 取得した証明書を使用するDomino サーバー名を指定します 「証明書ストア(CertStore.nsf)」は、 CertMgrタスクの初回起動時に自動作 成されます 証明書ストア

  13. Dominoコンソール CertMgr タスクが要求を処理する ※CertMgr タスクの起動「load certmgr」 ※CertMgr タスクに処理を要求「tell certmgr process」

  14. 証明書ストア

  15. FUJISSL Webサイト

  16. FUJISSL Webサイト 認証方式に「DNS認証」を選択した理由: • 実サーバーが存在しないため「ファイル認 証」ができなさそう • dominov12beta.work をメールアドレスに含む メールサーバーを要求されそう

    • dominov12beta.work のDNSを自由に操作で きる

  17. FUJISSL Webサイト

  18. FUJISSL Webサイト

  19. FUJISSL Webサイト

  20. FUJISSL Webサイト

  21. FUJISSL Webサイト

  22. FUJISSL Webサイト

  23. FUJISSL Webサイト

  24. FUJISSL Webサイト DNS認証の場合 指定したメールアドレス宛に認証局から メールが届きます。TXTレコードへ設定す る文字列はこのメールに記載されています。

  25. FUJISSL Webサイト

  26. TXTレコードの追加 認証に必要な文字列を含むTXTレコードをDNSへ追加します

  27. メール

  28. メール 追加するTXTレコードは daos.dominov12beta.work だけではNGでしたので dominov12beta.work も追加しました。 (試してませんが dominov12beta.work のみ 追加するだけでOKだったかもしれません)

  29. DNS

  30. DNS

  31. コマンドプロンプト

  32. コマンドプロンプト

  33. FUJISSL Webサイト DNS認証の場合、承認されるまで 時間がかかる場合があるようです

  34. FUJISSL Webサイト ユーザーポータルの「注文情報一覧」 の有効期限は、申し込みの直後はブラ ンクだったが、証明書が発行されると 日時が(UTCで)表示された

  35. 各種証明書の取込み 証明書ストア(CertStore.nsf)へ各種証明書を取り込みます

  36. メール

  37. メール 証明書と中間証明書はメール内にも記 載されているがファイルでも提供され る

  38. 圧縮解凍ツール

  39. 証明書ストア ルート証明書と中間証明書を 「信頼するルート」へ取込む

  40. 証明書ストア

  41. 証明書ストア

  42. 証明書ストア

  43. 証明書ストア 追加した中間証明書の「証明書のステータス」は ”警告 – Not a root certificate” と表示されますが、チェーンを完成するために使用されます

  44. 証明書ストア TLS証明書をCSR生成時に作成した TLS証明書文書へ取込む

  45. 証明書ストア

  46. 証明書ストア

  47. 証明書ストア

  48. 証明書ストア 証明書ストアの認証期限に日時が (JSTで)表示された

  49. 証明書ストア

  50. この直後に行うこと • DNSへ追加した2つのTXTレコードの削除 • ドミノディレクトリの変更(下記に例を示す) • サーバー文書 > [ポート]タブ >

    [インターネッ トポート]タブ > TLSの設定 > ホスト名を 「TLSキーファイル名」へ記載する • Webサイト文書 > [セキュリティ]タブ > TLSオ プション > ホスト名を「キーファイル名」へ記 載する ※キーリングファイル名を指定する欄にある 「keyfile.kyr」のような文字列をホスト名に書き 換える この後、証明書の有効期限前に行うこと • FUJISSLの申込み画面から更新を申込み • TXTレコードの追加 • 各種証明書と取込み • TXTレコードの削除

  51. 請求書