Keyring-File

[MarkusL-ESA]

Hallo,

Ich habe mal die folgende kleine Frage an die Spezialisten.

Es ist bei uns folgende Fragestellung aufgetaucht, die aktuell keiner zu beantwortenwusste.

Kann man im "laufenden" Betrieb des Domino dessen "keyring-file" (keyring.kyr) gegen ein neues File
problemlos austauschen?
Wenn ja, was muesste man gegebenfalls noch beachten? (SSL, Verschluesselung mit S/MIME, ...)

Danke schon mal vorab


Markus

[Günther Rupitz]

also ich hab gestern das kyr file auf einem server ausgetauscht.

da kein benutzer eingeloggt war hab ich nach dem austausch der kyr datei den http task neu gestartet.

aber eigentlich müsste ein "Tell HTTP Refresh" auch ausreichen.

[MarkusL-ESA]

Hallo,

Danke erst mal fuer die Antwort.

Was ich aber noch vergessen habe zu erwaehnen ist, dass sich bei dem neuen file die "Schluesselstaerke" auch aendern soll.
(Also altes File 1024 bit Verschluessellung, neues file 2048 bit Verschluesselung)

Markus

[Günther Rupitz]

Also bei mir hats keinen unterschied gemacht, denn wenn ich richtig informiert bin hat thawte ja per se ihre Schlüssellängen auf 2048 erhöht ?!?

Da ich gerade ein anderes Zertifikat noch nachinstallieren musste hab ich probiert ob es mit einem http refresh geht, und ist der Fall.

[MarkusL-ESA]

Ok.
Gehen wir einmal davon aus, dass das Austauschen, auch wenn die Verschluesselung erhoeht wurde, soweit funktionieren wuerde bzw. auch wird.

Was ist dann mit den ganzen "andern Stellen", die noch so zu beruecksichtigen sind.
SSL (auch fuer LDAP), Internetzertifikate der Benutzer, damit sie Mails mittels S/MIME versenden koennen.
Diese Internetzertifikate werden ja, soweit ich Informationen gefunden habe, mit der Verschluesselung angelegt, die auch im keyring-file maximal verwendet wurde. (also alt: 1024)

Wie wuerde ich jetzt die Internetzertifikate dazu bringen, sich zu "aktualisieren", damit auch diese dann die Verschluesselung mittels 2028 bit vornehmen?


Markus

[Patrick Schneider]

Hallo Markus,

die keyfile.kyr wird nur für die Internetports von Domino verwendet (und auch nur, wenn die Ports entsprechend konfiguriert sind).
Dazu gehören HTTPS, POP3/S, IMAPS, S/SMTP, LDAPS.
Die Ports werden im Serverdokument unter Ports->Internetports konfiguriert. Wenn der Server Internetsite-Dokumente verwendet, sind die Konfigurationen dort vorzunehmen (Web->Internetsites). Jeder Domino-Task, der die keyfile.kyr verwendet, muss refreshed/restarted werden, damit diese das neue Keyring-File verwenden.

Die keyfile.kyr hat normalerweise nichts mit S/MIME Zertifikaten zu tun. Soweit ich das kenne, werden die S/MIME Zertifikate in der Notes-ID des Users gespeichert(manueller Importvorgang). Wenn Domino als Certificate Authority dient, werden die Internetzertifikate der User im Personendokument im NAB gespeichert, wo sie dann vom Client automatisch in die Notes-ID importiert werden.

Gruß,
Patrick