Contenu connexe
Similaire à V12 TLS証明書管理の自動化 (20)
Plus de Haruyuki Nakano (20)
V12 TLS証明書管理の自動化
- 1. 証明書管理の
自動化
V12 Beta 2 の CertMgr による
DNS-01 challenge を試す
@harunkakano (Twitter)
harunakano.blogspot.com (Blog)
- 6. Let’s Encrypt について
• HTTPS (SSL/TLS) の有効化に必要なデジタル証明書を、無料
で提供する認証局(CA)
• ISRGがサービスを提供
• 証明書の取得や更新の自動化が可能
https://letsencrypt.org/ja/about/
- 7. ACMEプロトコル
• 証明書の要求から取得までを自動化するためのルール
• RFC 8555 - Automatic Certificate Management Environment
(ACME)
• CA(認証局)は、要求したドメイン名が我々の制御下にあるこ
とを証明できれば証明書を発行する
• ホスティングプロバイダによる ACMEクライアント( ACMEプ
ロトコルを実装するソフトウェア)のサポートが必要
- 8. 証明書自動入手の流れ
1. 証明書リクエスト
2. 認証用トークン発行
3. トークンの登録
4. 認証チャレンジの要求
5. トークンの確認
6. 証明書発行
ホスティング
プロバイダ
ドメインが我々の制御下にあることを証明
証明書等の要求と発行
CA
CA
CA
CA
CA
ホスティング
プロバイダ
ACMEクライアント
ACMEクライアント
ACMEクライアント
ACMEクライアント
ACMEクライアント
※ホスティングプロバイダ:WEBサーバーまたはDNSサービス
- 12. DNS-01チャレンジの検証
• ACMEクライアント:CertMgr タスク
• CertMgrの初回起動時に CertStore.nsf を自動作成
• TLS Credentials, DNS Provider, DNS Configuration の各設定を追加
• DNS-01チャレンジでは Domino にDSAPI 設定や HTTP タスク起動が不要
• ホスティングプロバイダ(DNS):CloudFlare
• CertStore.nsf へTXTレコードを追加/削除するための設定を追加
• DNSプロバイダによるAPI提供が必要
使用中の MyDNS.jp はAPI仕様不明のため CloudFlare へ乗り換え
• ドメインのAレコードを登録
• ドメイン名:dominov12beta.work
• お名前.com で取得
• DNS として CloudFlare を指定
- 13. 検証した DNS-01 チャレンジ
1. 証明書リクエスト
2. 認証用トークン発行
3. トークンをTXTレコードにして登録
4. 認証チャレンジの要求
5. TXTレコードの確認
6. 証明書発行
7. TXTレコードの削除
- 14. CertStore.nsf の作成
• CertMgr タスクの実行
コンソールで “load certmgr” コマンドを実行、または notes.ini の
ServerTasks= へ certmgr を追加
初回起動時に CertStore.nsf が無ければ自動作成
コマンドに “-d” を付けて起動するとデバッグモードになる