Let's Encrypt HTTPS 證書
Domino 12 話支援Let's Encrypt 證書, 佢話一按就得..... 結果呢.....
v12 話可以直接用ACME 取得Let's encrypt 證書, 咁我唔駛係firewall 或者web reverse proxy 都搞, 都幾方便.... 不過呢....
官方都話只要係console run 個certmgr ( load certmgr -ACCEPT_TOU_AUTO_CONFIG ), 再開個 CertStore.nsf 就可以設定個lets encrypt ....
你可以係notes.ini 加option 都得
|
CertMgr_ACCEPT_TOU=1 CertMgr_AutoConfigHttp=1 CertMgr_AutoConfig=1 CertMgr_AutoRequestCert=1 |
原來要 12.0.1 先可以做到, 咁啱我個support 去到1 月就完..... 佢去到3 月先要renew 張HTTPS 證書.... 咁出事啦..... HCL 又無email 提我.... 結果搞左成個星期, 先可以買返個support .......
咁有乜問題? 本來無問題, web mail 叫user 按advanced 再access web site , 係得既.....
不過呢.... iOS 係痴線架, 你張證書過左期, 佢直情唔開server , Mail 又係咁, 連Verse 都係咁....
好彩我android 同iOS 都有, 唔係真係成個星期收唔到email 啦.....
不過呢, 你用Notes 同埋Nomad client 都OK 既, 因為佢直接跟Notes RPC , 唔經HTTPS , 不受iOS 限制....
升級左做12.0.1 之後. (我實際係上埋 12.0.1 IF1)
打開個certstore.nsf , 改就幾個地方架啫
Edit global settings , 揀返自己部notes server , Cert provider 記得揀ACME , 同埋要揀LetsEncryptProdiction
(如果無信心, 可以用LetsEncryptStaging 先, 呢個係無限任test 既, 否則production 每小時每隻IP 只可以fail 5 次, 好似係)
跟住ACME account , 記得要Enable 返, 同埋加返自己個email address , 再accept 埋個Lets encrypt agreement
最後係TLS credential 加返Internet host name , Notes Server 名, common name 等資料, 可以按 [Submit request]
等一陣, 做左validate , 咁就用得啦 !
P.S.
- 記得要開左HTTP , 同埋個HTTPS 要set 好先, 唔係用唔到 (let's encrypt 個validate 過程只要HTTP)
- 記得host name 要指去你個notes server , 唔理經proxy 又好, 直指又好
- 佢預設用ACME 騟證, CertStore 會幫你做好晒, 你都可以用DNS 做, 不過要有script .... 比較煩 ( 自己玩 https://github.com/HCL-TECH-SOFTWARE/domino-cert-manager )
- 如果好耐都未load 到, 可以restart server 再打 load certmgr , 佢會幫你restart http 去拎cert
Ref : https://blog.martdj.nl/2021/02/28/domino-v12-the-certificate-manager/
