Slide 1
Slide 1 text
TLS 証明書の手動管理
新規に TLS 証明書を取得し
HCL Domino 12.0 の証明書ストアと CertMgr で「手動」管理する
中野 晴幸 Haruyuki Nakano
@harunakano (Twitter)
https://harunakano.blogspot.com (blog)
Slide 2
Slide 2 text
TLS 証明書の手動管理とは
ここでは ACME プロトコルを使用せず TLS 証明書の取得/更新
を行うことを「手動管理」と表現します
Slide 3
Slide 3 text
今回行った作業
1. 証明書の申込み
• 文書規約への同意
• 商品選択
• CSR 作成(証明書ストア)
• CSR 提出
• 承認方式選択
• 申請情報入力
• 決済情報入力
2. TXT レコードの追加
3. 各種証明書の取込み
4. ドミノディレクトリ変更
5. TXT レコード削除
※本スライドは4~5を省略しています
Slide 4
Slide 4 text
1. 証明書の申込み
今回は FUJISSL
Slide 5
Slide 5 text
FUJISSL Webサイト
Slide 6
Slide 6 text
FUJISSL Webサイト
Slide 7
Slide 7 text
FUJISSL Webサイト
Slide 8
Slide 8 text
FUJISSL Webサイト
Slide 9
Slide 9 text
FUJISSL Webサイト
Slide 10
Slide 10 text
FUJISSL Webサイト
Slide 11
Slide 11 text
FUJISSL Webサイト
Slide 12
Slide 12 text
「アクセスできるサーバー」には、
取得した証明書を使用するDomino
サーバー名を指定します
「証明書ストア(CertStore.nsf)」は、
CertMgrタスクの初回起動時に自動作
成されます
証明書ストア
Slide 13
Slide 13 text
Dominoコンソール
CertMgr タスクが要求を処理する
※CertMgr タスクの起動「load certmgr」
※CertMgr タスクに処理を要求「tell certmgr process」
Slide 14
Slide 14 text
証明書ストア
Slide 15
Slide 15 text
FUJISSL Webサイト
Slide 16
Slide 16 text
FUJISSL Webサイト
認証方式に「DNS認証」を選択した理由:
• 実サーバーが存在しないため「ファイル認
証」ができなさそう
• dominov12beta.work をメールアドレスに含む
メールサーバーを要求されそう
• dominov12beta.work のDNSを自由に操作で
きる
Slide 17
Slide 17 text
FUJISSL Webサイト
Slide 18
Slide 18 text
FUJISSL Webサイト
Slide 19
Slide 19 text
FUJISSL Webサイト
Slide 20
Slide 20 text
FUJISSL Webサイト
Slide 21
Slide 21 text
FUJISSL Webサイト
Slide 22
Slide 22 text
FUJISSL Webサイト
Slide 23
Slide 23 text
FUJISSL Webサイト
Slide 24
Slide 24 text
FUJISSL Webサイト
DNS認証の場合
指定したメールアドレス宛に認証局から
メールが届きます。TXTレコードへ設定す
る文字列はこのメールに記載されています。
Slide 25
Slide 25 text
FUJISSL Webサイト
Slide 26
Slide 26 text
TXTレコードの追加
認証に必要な文字列を含むTXTレコードをDNSへ追加します
Slide 27
Slide 27 text
メール
Slide 28
Slide 28 text
メール
追加するTXTレコードは
daos.dominov12beta.work
だけではNGでしたので
dominov12beta.work
も追加しました。
(試してませんが dominov12beta.work のみ
追加するだけでOKだったかもしれません)
Slide 29
Slide 29 text
DNS
Slide 30
Slide 30 text
DNS
Slide 31
Slide 31 text
コマンドプロンプト
Slide 32
Slide 32 text
コマンドプロンプト
Slide 33
Slide 33 text
FUJISSL Webサイト
DNS認証の場合、承認されるまで
時間がかかる場合があるようです
Slide 34
Slide 34 text
FUJISSL Webサイト
ユーザーポータルの「注文情報一覧」
の有効期限は、申し込みの直後はブラ
ンクだったが、証明書が発行されると
日時が(UTCで)表示された
Slide 35
Slide 35 text
各種証明書の取込み
証明書ストア(CertStore.nsf)へ各種証明書を取り込みます
Slide 36
Slide 36 text
メール
Slide 37
Slide 37 text
メール
証明書と中間証明書はメール内にも記
載されているがファイルでも提供され
る
Slide 38
Slide 38 text
圧縮解凍ツール
Slide 39
Slide 39 text
証明書ストア
ルート証明書と中間証明書を
「信頼するルート」へ取込む
Slide 40
Slide 40 text
証明書ストア
Slide 41
Slide 41 text
証明書ストア
Slide 42
Slide 42 text
証明書ストア
Slide 43
Slide 43 text
証明書ストア
追加した中間証明書の「証明書のステータス」は
”警告 – Not a root certificate”
と表示されますが、チェーンを完成するために使用されます
Slide 44
Slide 44 text
証明書ストア
TLS証明書をCSR生成時に作成した
TLS証明書文書へ取込む
Slide 45
Slide 45 text
証明書ストア
Slide 46
Slide 46 text
証明書ストア
Slide 47
Slide 47 text
証明書ストア
Slide 48
Slide 48 text
証明書ストア
証明書ストアの認証期限に日時が
(JSTで)表示された
Slide 49
Slide 49 text
証明書ストア
Slide 50
Slide 50 text
この直後に行うこと
• DNSへ追加した2つのTXTレコードの削除
• ドミノディレクトリの変更(下記に例を示す)
• サーバー文書 > [ポート]タブ > [インターネッ
トポート]タブ > TLSの設定 > ホスト名を
「TLSキーファイル名」へ記載する
• Webサイト文書 > [セキュリティ]タブ > TLSオ
プション > ホスト名を「キーファイル名」へ記
載する
※キーリングファイル名を指定する欄にある
「keyfile.kyr」のような文字列をホスト名に書き
換える
この後、証明書の有効期限前に行うこと
• FUJISSLの申込み画面から更新を申込み
• TXTレコードの追加
• 各種証明書と取込み
• TXTレコードの削除
Slide 51
Slide 51 text
請求書