Domino 9 und frühere Versionen > ND9: Administration & Userprobleme

Wildcard-Zertifikat installieren

(1/2) > >>

khing:
Hallo,

wir haben folgende Situation:
- ein Adminkollege hat ein Wildcard-Zerti von DigiCert für unsere Domain erstellt und diese auf unserem Web-Server installiert
- nun wollen wir unsere internen Notes-Server 9.0 auch mit diesem SSL-Zertifikat laufen lassen (im Moment baut der IE wegen dem eigenerstellten Zerti nicht mal eine Verbindung auf)
- die internen Notes-Server werden über unseren DNS entsprechend aufgelöst [SERVERNAME].[DOMAINNAME].de
- in den Internet-Sites habe ich den Server mit dem gleichen Hostnamen eingetragen

Somit habe ich vorerst KEINE Schlüsselringdatei gehabt, wie sie sonst beim normalen Registrierungsprozess entsteht. Dann wollte ich nach folgender Anweisung vorgehen: https://www.digicert.com/ssl-certificate-installation-lotus-domino.htm
Hier braucht man jedoch die Schlüsselringdatei (*.kyr), um den Prozess fortzusetzen. Diesen habe ich dann manuell unter "Create Key Ring" erstellt. Im Anschluss wieder unter "Install Trusted Root Cert...." und unter Angabe aller Daten erhalte ich dann, das das Zertifikat nicht als Wurzelinstanzzertifikat hinterlegt ist. Unter "View & Edit Key Rings" ist es auch nicht zu finden. Also wollte ich im Admin den Internetzertifizierer registrien. Das geht aber auch nicht, weil ich von DigiCert keine kyr-Datei habe  ???

Könnt ihr mir weiterhelfen, wie ich das Zertifikat zum laufen bekomme? Geht das überhaupt so, wie ich mir das vorstelle?

Vielen Dank.

Gruß Kristian

umi:
Guten Morgen

Schau dir mal das Thema SHA-256 http://atnotes.de/index.php/topic,58262.0.html an.

Tode:
Besorg Dir das "kyrtool" von IBM und ggf. OpenSSL und befolge diese Anleitung.
Du musst dann nur an der richtigen Stelle Dein Wildcard- Certificate (PEM- Format, inklusive private key) importieren anstelle des OpenSSL- Zertifikates, und voila...

khing:
Vielen Dank für die schnellen Antworten. Dann tauche ich erst einmal ab und belese mich weiter  ;)

pram:
Wir hatten selbes Problem und sind im Wesentlichen nach folgender Anleitung vorgegangen:


--- Zitat ---1.   Created an exported pfx file from IIS
2.   Went to a domino server and from a prompt found the directory  \domino\jvm\bin directory and ran the file "ikeyman" within it
3.   Created a new Key DB file by browsing to the IIS exported pfx file and importing it as PKCS
4.   Examined the imported certificate and noted the certificate settings such as Organisation, OU, L etc
5.   Closed ikeyman
6.   Created a new key ring file using the Secure Certificate Admin db on Domino
7.   Gave it the exact same settings as the original IIS certificate noted down in step 4.
8.   Installed the trusted root certificate into the key ring file
9.   Copied the .kyr and .sth files to the server where ikeyman ran and where the PKCS file generated in step 3 was located
10.   Downloaded gsk version of ikeyman to handle Domino key ring files from here ftp://ftp.software.ibm.com/software/lotus/tools/Domino/gsk5-ikeyman.zip
11.   Extracted zip file to folder 'gsk' on server (folder can be called anything but no spaces)
12.   Ran "gskregmod.bat Add" from command prompt within extracted folder
13.   Launched the ikeyman from dos prompt in the newly extracted folder by typing "runikeyman.bat"
14.   Chose Key Database File - Open and selected the kyr file I copied to the server in step 9
15.   Go to Personal Certificates and click 'Import' then choose 'PKCS' and import the file generated in step 3

--- Ende Zitat ---
(von hier, Link leider tot: http://www.turtleweb.com/turtleblog.nsf/dx/11022009232215GDAVGR.htm?opendocument&comments)

Zu Punkt 1:
Um ein p12 Zertifikat aus .key und .crt zu erstellen, haben wir folgenden Befehl verwendet (OpenSSL tools gibts auch für Windows)
openssl pkcs12 -export -out export.p12 -inkey yourdomain.de.key -in yourdomain.de.crt -certfile Intermediate_CA_Bundle.crt
Passwort vergeben, wird weiter unten benötigt

Zu Punkt 2-5:
Diese Info siehst du auch im Browser, wenn du deine Domain aufrufst

zu Punkt 6 und 7:
Bei "Create Keyring " in der "certsrv.nsf" ist die CN-Angabe unbedingt korrekt zu machen:
CommonName: *.yourDomain.de (Dieser Teil MUSS mit eurem Zertifikat übereinstimmen)
Organization: egal (darf nur nicht leer sein)
Country: DE (bzw. egal)

Zu Punkt 8: Musst du wahrscheinlich hier runter laden: https://www.digicert.com/digicert-root-certificates.htm

Zu Punkt 9ff: Um das .p12 Zertifikat nun in deinen .kyr/.sth zu importieren, sind folgende Informationen wichtig:
- Du brauchst die GSK-Version von iKeyMan
- Diese läuft nur unter Windows XP (es muss kein Domino/Notes auf der Maschine sein, aber du musst die .kyr/.sth/.p12 Datei auf die Maschine kopieren)
- Es dürfen keine Leerstellen/Umlaute in den beteiligten Verzeichnispfaden vorkommen.
Anschließend die .kyr Datei laden, im DropDown auf "persönliche Zertifikate" wechseln und die .p12 Datei importieren (Kennwort von oben eingeben)
=> Fertig, .kyr/.sth auf den Server kopieren

/edit: ich weiß nicht ob dies auch schon für SHA2 Zertifikate geht. Die Anleitung von Tode scheint mir etwas neuer, aber auch komplexer (und man braucht keine XP-Maschine)
Würde mich freuen, wenn du kurz berichtest, wie du vorgegangen bist.

Gruß
Roland

Navigation

[0] Themen-Index

[#] Nächste Seite