Wildcard-Zertifikat installieren

[khing]

Hallo,

wir haben folgende Situation:
- ein Adminkollege hat ein Wildcard-Zerti von DigiCert für unsere Domain erstellt und diese auf unserem Web-Server installiert
- nun wollen wir unsere internen Notes-Server 9.0 auch mit diesem SSL-Zertifikat laufen lassen (im Moment baut der IE wegen dem eigenerstellten Zerti nicht mal eine Verbindung auf)
- die internen Notes-Server werden über unseren DNS entsprechend aufgelöst [SERVERNAME].[DOMAINNAME].de
- in den Internet-Sites habe ich den Server mit dem gleichen Hostnamen eingetragen

Somit habe ich vorerst KEINE Schlüsselringdatei gehabt, wie sie sonst beim normalen Registrierungsprozess entsteht. Dann wollte ich nach folgender Anweisung vorgehen: https://www.digicert.com/ssl-certificate-installation-lotus-domino.htm
Hier braucht man jedoch die Schlüsselringdatei (*.kyr), um den Prozess fortzusetzen. Diesen habe ich dann manuell unter "Create Key Ring" erstellt. Im Anschluss wieder unter "Install Trusted Root Cert...." und unter Angabe aller Daten erhalte ich dann, das das Zertifikat nicht als Wurzelinstanzzertifikat hinterlegt ist. Unter "View & Edit Key Rings" ist es auch nicht zu finden. Also wollte ich im Admin den Internetzertifizierer registrien. Das geht aber auch nicht, weil ich von DigiCert keine kyr-Datei habe 

Könnt ihr mir weiterhelfen, wie ich das Zertifikat zum laufen bekomme? Geht das überhaupt so, wie ich mir das vorstelle?

Vielen Dank.

Gruß Kristian

[umi]

Guten Morgen

Schau dir mal das Thema SHA-256 http://atnotes.de/index.php/topic,58262.0.html an.

[Tode]

Besorg Dir das "kyrtool" von IBM und ggf. OpenSSL und befolge diese Anleitung.
Du musst dann nur an der richtigen Stelle Dein Wildcard- Certificate (PEM- Format, inklusive private key) importieren anstelle des OpenSSL- Zertifikates, und voila...

[khing]

Vielen Dank für die schnellen Antworten. Dann tauche ich erst einmal ab und belese mich weiter 

[pram]

Wir hatten selbes Problem und sind im Wesentlichen nach folgender Anleitung vorgegangen:

1.   Created an exported pfx file from IIS
2.   Went to a domino server and from a prompt found the directory  \domino\jvm\bin directory and ran the file "ikeyman" within it
3.   Created a new Key DB file by browsing to the IIS exported pfx file and importing it as PKCS
4.   Examined the imported certificate and noted the certificate settings such as Organisation, OU, L etc
5.   Closed ikeyman
6.   Created a new key ring file using the Secure Certificate Admin db on Domino
7.   Gave it the exact same settings as the original IIS certificate noted down in step 4.
8.   Installed the trusted root certificate into the key ring file
9.   Copied the .kyr and .sth files to the server where ikeyman ran and where the PKCS file generated in step 3 was located
10.   Downloaded gsk version of ikeyman to handle Domino key ring files from here ftp://ftp.software.ibm.com/software/lotus/tools/Domino/gsk5-ikeyman.zip
11.   Extracted zip file to folder 'gsk' on server (folder can be called anything but no spaces)
12.   Ran "gskregmod.bat Add" from command prompt within extracted folder
13.   Launched the ikeyman from dos prompt in the newly extracted folder by typing "runikeyman.bat"
14.   Chose Key Database File - Open and selected the kyr file I copied to the server in step 9
15.   Go to Personal Certificates and click 'Import' then choose 'PKCS' and import the file generated in step 3

(von hier, Link leider tot: http://www.turtleweb.com/turtleblog.nsf/dx/11022009232215GDAVGR.htm?opendocument&comments)

Zu Punkt 1:
Um ein p12 Zertifikat aus .key und .crt zu erstellen, haben wir folgenden Befehl verwendet (OpenSSL tools gibts auch für Windows)
openssl pkcs12 -export -out export.p12 -inkey yourdomain.de.key -in yourdomain.de.crt -certfile Intermediate_CA_Bundle.crt
Passwort vergeben, wird weiter unten benötigt

Zu Punkt 2-5:
Diese Info siehst du auch im Browser, wenn du deine Domain aufrufst

zu Punkt 6 und 7:
Bei "Create Keyring " in der "certsrv.nsf" ist die CN-Angabe unbedingt korrekt zu machen:
CommonName: *.yourDomain.de (Dieser Teil MUSS mit eurem Zertifikat übereinstimmen)
Organization: egal (darf nur nicht leer sein)
Country: DE (bzw. egal)

Zu Punkt 8: Musst du wahrscheinlich hier runter laden: https://www.digicert.com/digicert-root-certificates.htm

Zu Punkt 9ff: Um das .p12 Zertifikat nun in deinen .kyr/.sth zu importieren, sind folgende Informationen wichtig:
- Du brauchst die GSK-Version von iKeyMan
- Diese läuft nur unter Windows XP (es muss kein Domino/Notes auf der Maschine sein, aber du musst die .kyr/.sth/.p12 Datei auf die Maschine kopieren)
- Es dürfen keine Leerstellen/Umlaute in den beteiligten Verzeichnispfaden vorkommen.
Anschließend die .kyr Datei laden, im DropDown auf "persönliche Zertifikate" wechseln und die .p12 Datei importieren (Kennwort von oben eingeben)
=> Fertig, .kyr/.sth auf den Server kopieren

/edit: ich weiß nicht ob dies auch schon für SHA2 Zertifikate geht. Die Anleitung von Tode scheint mir etwas neuer, aber auch komplexer (und man braucht keine XP-Maschine)
Würde mich freuen, wenn du kurz berichtest, wie du vorgegangen bist.

Gruß
Roland

[schroederk]

Ich hänge auch gerade bei der Installation unseres Wildcard-Zertifikats.
Wenn ich die Anleitung richtig verstanden habe (Link von Tode), dann kann ich meinerseits die Punkte 1-4 ignorieren, da ich schon die Dateien
wildcard_domain_de.crt
wildcard_domain_de.ca-bundle
wildcard_domain_de.key
habe.
Laut Anleitung fehlt mir aber nun noch das root.crt was ich für den Schritt

Code

type server.key server.crt intermediate.crt root.crt > server.txt

benötige.
Denn ohne das, erhalte ich beim Test

Code

kyrtool =c:\lotus\notes\notes.ini verify c:\lotus\notes\data\ssl\server.txt

als Ergebnis

Successfully read 2048 bit RSA private key
INFO: Successfully read 3 certificates
INFO: Private key matches leaf certificate
INFO: IssuerName of cert 0 matches the SubjectName of cert 1
INFO: IssuerName of cert 1 matches the SubjectName of cert 2
WARNING: Final certificate in chain is NOT self-signed

Bei Fehlen des root.crt soll man das Windows Crypto Extensions Tool verwenden.
Aber ich finde nur Command-Line-Tools und kein GUI.

Ich dachte mir, dass mein Problem hier ganz gut reinpasst, aber wenn ich dafür ein eigenes Thema aufmachen soll, auch ok.