TLS 証明書を「手動」で設定する

 HCL Domino 12.0 の証明書ストア（CertStore.nsf）と CertMgr タスクを使うことで TLS 証明書を簡単な操作で取得することができ、さらに TLS 証明書の自動更新もできるようになりました。

これまで当ブログでは証明書管理の自動化に注目してまいりましたが、実は「手動」で入手する証明書を証明書ストアで管理することにも対応しています。

ところで、キーリングファイルによる証明書管理を行う場合、新たに TLS 証明書を取得してそれが使えるようになるまでの作業手順は次の技術文書に記載があります。

Windows 環境で OpenSSL と KYRTool を利用してサードパーティの認証機関で署名された証明書を作成する

この技術文書の作業手順を大まかに書くと次のような感じになります。

1. キーペアと CSR の作成
2. 認証機関とのやりとり
3. キーリングファイルの作成、各種証明書の格納
4. ドミノディレクトリへキーリングファイル名の設定
5. HTTP タスクの再起動

上の1と3の作業は OpenSSL（別途インストールが必要） や KYRTool といったツールを使用するコマンド操作です。また証明書を更新する都度、それを反映するために HTTP タスクを再起動する必要がありました。これまでがV11までの標準的な方法でした。

V12以降、TLS 証明書を証明書ストア（CertStore.nsf）を使い「手動」で管理する場合、ツールをコマンド操作することなく UI での操作が可能です。OpenSSL のインストールも不要です。また初回は HTTP タスクを再起動しますが、TLS 証明書文書の更新時は動的に TLS キャッシュを更新する機能が新たに導入されたため再起動は不要になりました。といった内容の技術文書もあります。

Domino 12 環境でサードパーティの認証機関で署名された証明書を作成する方法

今回は、上の技術文書の手順10で作成した CSR を使い FujiSSL のWebページから証明書を申し込み、その後どのように証明書を取り込んだか、というお話です。

実は当初 セコムトラストシステムズ社のテスト証明書を申し込もうとしていたのですが、扱っている証明書のタイプがOVとEVだけでDVは扱っていないことから諦めました。テスト証明書とは言えOVとEVの発行には会社の存在を確認できることが必要なので、個人では無理とのことでした。

気をとりなおして FujiSSL.jp のトップページからお申込みサイトへ。ストアフロントというページにある文書・規約を読み「同意」して次へ進みます。

「商品選択」では「ドメイン認証」にある "FujiSSL" を選択、そしてあらかじめ証明書ストア（CertStore.nsf）に作成した TLS 証明書文書からコピーしたCSRを「CSR」へ貼り付け、次へ進みます。

「承認確認情報選択」では「DNS認証」を選択して次へ進みました。

「申請情報入力」へ名前や役職などもろもろ入力して次へ進みます。

「確認・お支払い」へクレジットカード情報を入力して注文を確定します。

申し込みはこれで完了です。

申し込みの後すぐに DNS へ追加する TXT レコードの文字列がメールで届きました。「DNS認証」を選択した場合、ドメインを管理している DNS プロバイダへ TXT レコードを追加しなければなりません。

今回私が CSR 作成時に指定したFQDNは「daos.dominov12beta.work」でした。

TXT レコードはこの「daos.dominov12beta.work」に加え、サブドメイン（と表現されているのでちょっと分かりづらいのですが）無しの「dominov12beta.work」も追加しておく必要があるとのことで、2 つの TXT レコードを追加しました。

しばらく待っていると、zip 圧縮された証明書を添付したメールが届きました。下図は zip ファイルの内容です。

証明書と一緒にzip圧縮されている ca-bundle.ca は中間証明書です。この中間証明書は、証明書ストア（CertStore.nsf）の「信頼するルート」ビューから追加しておきます。

中間証明書を追加するには「信頼するルートの追加」ボタンをクリックした後、テキストエディタ等で中間証明書の内容をクリップボードへコピーした上で「証明書の貼り付け」ボタンをクリックして「要求の送信」ボタンをクリックします。

このあと CertMgr タスクが処理を行うと信頼するルートのビューに追加されます。

中間証明書を追加できたら、証明書（zipファイルにある、拡張子が .crt のファイルの内容）を貼り付けます。

証明書を貼り付けるには、CSRのコピー元である TLS 証明書文書を開き、テキストエディタ等で証明書（.crt ファイル）の内容をクリップボードへコピーした上で「証明書の貼り付け」ボタンをクリックして「要求の送信」ボタンをクリックします。

このあと CertMgr タスクが処理を行い、TLS 証明書文書のステータスが "発行" になれば証明書は完成です。

あとはドミノディレクトリで、キーリングファイル名の代わりにホスト名「daos.dominov12beta.work」を指定して http タスクを再起動すると、この証明書が有効になります。

キーリングファイルで証明書を扱う場合、証明書を更新するたびに http タスクの再起動が必要です。

証明書ストアで TLS 証明書を管理する場合、更新した証明書が TLS キャッシュへ自動で反映されるため http タスクの再起動が不要になりました。

ますます便利になりますね。