MicroCA からのTLS証明書の取得

Domino 12.0.1 の証明書ストア（CertStore.nsf）では、認証機関 としてローカルの MicroCA を指定できるようになりました。

これは自前の証明書発行機関、いわゆる「オレオレ認証局」になります。

仮にブラウザから MicroCA で発行したTLS証明書を使っている Domino サーバーへアクセスすると、ブラウザは「信頼された証明機関から発行された証明書ではない」と警告を表示します。

そういった訳で MicroCA はテスト用途で利用できるもの、と理解しています。

MicroCA のポイントは、DNS プロバイダとか外部からの HTTP アクセスといったものを気にすることなく証明書を作成できることです。

ちなみに Domino 12.0.1 では One-Touch セットアップも機能拡張され、この MicroCA を CertMgr が使えるようセットアップすることで、セットアップが完了した時点でそのサーバー用の TLS証明書 が作成された状態になっていました。ただしサーバー文書等の設定は別途変更する必要がありました。

さて、今回は One-Touch セットアップではなく手動でセットアップした Domino に CertMgr タスクを起動して証明書ストア（CertStore.nsf）を作成した状態から MicroCA を使えるようにします。

証明書ストアを開いて、ナビゲーションから「設定 - 認証機関」とクリックして[アカウント追加]ボタンをクリックします。

認証機関文書が開いたら、ステータスを空のままにして「名前:」を入力し、種類に "MicroCA" を選択したら[保存して閉じる]ボタンをクリックします。下の画像では名前に "dominoMicroCA" と入力しています。

しばらくすると CertMgr が認証機関「MicroCA」を作成します。作成が完了すると、サーバーの log.nsf に次のように記録されました。

2022/02/28 13:15:44   CertMgr: Created MicroCA [dominoMicroCA]

 そして認証機関文書のステータスは "有効" に変わりました。

認証機関文書の「ローカルCA」タブに切り替えると、最下部の「認証チェーン」に"-----BEGIN CERTIFICATE-----" から "-----END CERTIFICATE-----" で区切られた証明書が追加されました。

これで MicroCA は完成です。

では TLS 証明書を作成して MicroCA を指定してみます。

TLS 証明書のビューを表示して[TLS 証明書の追加]ボタンをクリックします。

TLS 証明書文書が開きます。今回はテスト用途ですので、「ホスト名」には現在のサーバーの FQDN をタイプして、「アクセスできるサーバー」は現在のサーバー名を選択しました。

「証明書プロバイダ」には "MicroCA" を選択します。

「認証機関」には今回作成した "dominoMicroCA" を選択します。

「キータイプ」や「曲線名」は（グローバル文書で設定済みの）デフォルトのまま、[要求の送信]ボタンをクリックしました。

一旦 TLS 証明書文書が閉じて画面はビューに戻りましたが、すぐさま TLS証明書が更新されてステータスは "発行" となりました。

認証の有効期限は約1年間でした。

テスト用とはいえ OpenSSL 無しでここまでできるなんて便利になりましたね。