方法一：Domino 12.0 以上版本（你也可直接使用免費憑證,以下是將第三方發行憑證匯入方式）
Domino 12.0 或更新版本

憑證中心（CA）提供的 .pem 檔案（通常包含私鑰與伺服器憑證，以及中繼與根憑證）

步驟 1. 合併 PEM 檔案
將憑證中心提供的私鑰（key.pem）、伺服器憑證（cert.pem）與其他必要的憑證（如中繼與根憑證），依序合併成單一檔案 all.pem。

在命令提示字元（或 Linux Shell）下執行：

  cat key.pem > all.pem
  cat cert.pem >> all.pem

若有其他中繼或根憑證，也依照順序 >> 接到 all.pem。最終 all.pem 應包含：

—–BEGIN PRIVATE KEY—–
（私鑰內容）
—–END PRIVATE KEY—–
—–BEGIN CERTIFICATE—–
（伺服器憑證內容）
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
（中繼憑證內容，若有）
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
（根憑證內容，若有）
—–END CERTIFICATE—–
將 all.pem 複製到 Domino 伺服器的 Data 目錄下（如：C:\Program Files\IBM\Domino\Data\）。

步驟 2. 使用 certmgr 匯入 PEM
在 Domino Console（Domino 伺服器所在機器上，開啟命令列或直接在 Domino Administrator → Server Console）執行以下指令：

load certmgr -importpem all.pem

執行後，系統會自動將 all.pem 裡的私鑰與憑證匯入至 Domino 的 certstore.nsf 中。匯入成功後，可在certstore.nsf 查看新憑證是否已就緒。

方法二：Domino 9.0.1 FP3 以上版本（使用 kyrtool）
適用環境

Domino 9.0.1 FP3 以上，但未達 12.0 的環境

需先將 PFX （或其他格式）轉成 PEM 檔案

下載並安裝 kyrtool（可至 HCL 官網取得：https://support.hcl-software.com/sys_attachment.do?sys_id=8abbda6a1ba7ad90534c4159cc4bcb89）

步驟 1. 將 PFX 轉成 PEM，並依序整理成 TXT

假設已經透過 OpenSSL 或其他工具，將 .pfx 轉成 PEM 格式；此時會得到一個 key.pem（私鑰）與若干個 .pem（憑證、chain）。

打開記事本（Notepad）或任何純文字編輯器，將所有 PEM 內容依照以下順序複製貼上到新的空白檔案中（例如命名為 allcert.txt）：

—–BEGIN PRIVATE KEY—–
（私鑰雜湊碼）
—–END PRIVATE KEY—–

—–BEGIN CERTIFICATE—–
（伺服器憑證雜湊碼）
—–END CERTIFICATE—–

—–BEGIN CERTIFICATE—–
（中繼憑證雜湊碼）
—–END CERTIFICATE—–

—–BEGIN CERTIFICATE—–
（根憑證雜湊碼）
—–END CERTIFICATE—–

存檔時，請留意檔案副檔名為 .txt（或任何方便識別的名稱，如 server_chain.txt），並記下完整存放路徑。

步驟 2. 切換到 Domino 安裝目錄

開啟命令提示字元（以系統管理員身分執行較保險）。切換目錄到 Domino 安裝路徑，預設路徑多為：

cd “C:\Program Files (x86)\IBM\Notes\”
若安裝在其他位置，請改為對應路徑。例如：

cd “D:\Domino\Notes\”

步驟 3. 建立「空的」KYR 檔案

在同一命令提示字元中，執行以下指令以建立空白的 keyring.kyr：

kyrtool =”c:\Program Files (x86)\IBM\notes\notes.ini” create -k “c:\Program Files (x86)\IBM\notes\data\keyring.kyr” -p password

注意等號前的 kyrtool 路徑若安裝不同，請自行調整。

-k “…\keyring.kyr”：指定要建立的 kyr 檔案完整路徑。

-p 密碼：設定開啟 KYR 時所需的密碼（可自行設定一組強度適當的密碼）。

執行後，Domino 安裝目錄下會產生兩個檔案：

keyring.kyr

keyring.sth

步驟 4. 將 PEM（TXT）匯入到 KYR

確認剛才整合好的 allcert.txt（或其他命名）路徑。

在同一命令提示字元中，執行以下指令將憑證匯入：

keytool import all -k "c:\Program Files (x86)\IBM\notes\data\keyring.kyr" -i "新記事本txt檔的存放路徑"

表示同時匯入私鑰與所有憑證。

-k “…\keyring.kyr”：指定先前建立的 KYR 檔案位置。

-i “…\allcert.txt”：指定剛才整理的憑證檔案位置。

步驟 5. 驗證匯入結果
查看已匯入的私鑰（Keys）：

kyrtool="C:\Program Files (x86)\IBM\Notes\notes.ini" show keys -k "C:\Program Files(x86)\IBM\Notes\Data\keyring.kyr"
執行後，會列出所有已匯入的金鑰資訊，包括私鑰 ID、到期日等。

查看已匯入的憑證（Certs）：

kyrtool="C:\Program Files (x86)\IBM\Notes\notes.ini" show certs -k "C:\Program Files (x86)\IBM\Notes\Data\keyring.kyr"
可以看到所有匯入的伺服器憑證、中繼與根憑證。

若上述指令都能正常列出，表示憑證已正確匯入。

步驟 6. 重啟 Domino 伺服器
完成匯入後，需重啟 Domino 伺服器，讓新憑證生效。

重啟完成後，建議使用瀏覽器連線至 Domino 上配置 SSL 的服務（如 HTTPS 或 SMTP over SSL 等），確認新憑證是否生效且無錯誤。

注意事項與常見問題
Domino 版本限制

若為早於 9.0.1 FP3 的 Domino，則無法支援較新版的憑證格式，請先升級至至少 9.0.1 FP3。Domino 12.0 以上版本相對簡單，可直接使用 certmgr -importpem，無需另行安裝 kyrtool。

PEM 檔案內容順序

在方法二中，allcert.txt 內的順序必須嚴格按照「私鑰 → 伺服器憑證 → 中繼憑證 → 根憑證」貼上，否則匯入時可能會發生順序錯誤，導致憑證鏈不完整或驗證失敗。

憑證密碼保護

若原先導出 PFX 時有設定密碼，轉成 PEM 後，私鑰區段若帶有加密，則需要在建立 KYR 檔案前先將私鑰解密（可使用 OpenSSL 指令：